Хакеры из России захватили тысячи роутеров для кражи паролей

Группа российских правительственных хакеров захватила тысячи домашних и небольших бизнес-роутеров по всему миру в рамках продолжающейся кампании, направленной на перенаправление интернет-трафика жертв для кражи их паролей и токенов доступа, предупредили во вторник исследователи безопасности и правительственные органы.

Это последняя тактика давно действующей российской хакерской группы, известной как Fancy Bear или APT 28, известной своими громкими взломами и шпионскими операциями, включая взлом Национального комитета Демократической партии в 2016 году и разрушительный взлом, поразивший спутникового провайдера Viasat в 2022 году. Fancy Bear широко считается частью российского разведывательного агентства ГРУ.

Хакерская группа нацелилась на незапатченные роутеры производства MikroTik и TP-Link, используя ранее раскрытые уязвимости, согласно подразделению кибербезопасности правительства Великобритании NCSC и исследовательскому подразделению Lumen Black Lotus Labs, которые во вторник опубликовали новые подробности кампании.

Согласно исследователям, хакеры смогли шпионить за большим количеством людей в течение нескольких лет, взламывая их роутеры, многие из которых работают на устаревшем программном обеспечении, что делает их уязвимыми для удаленных атак без ведома владельцев.

NCSC заявила, что эти операции «вероятно, носят оппортунистический характер, когда действующее лицо забрасывает широкую сеть, чтобы охватить множество потенциальных жертв, а затем сужает фокус на цели разведывательного интереса по мере развития атаки».

Согласно исследователям и правительственным рекомендациям, российские хакеры взламывали роутеры для изменения настроек устройств, чтобы интернет-запросы жертв тайно передавались на инфраструктуру, управляемую хакерами. Это позволяет хакерам перенаправлять жертв на поддельные веб-сайты под их контролем, а затем красть пароли и токены, которые позволяют хакерам входить в учетные записи онлайн-жертв без необходимости вводить коды двухфакторной аутентификации.

Black Lotus Labs сообщила, что Fancy Bear скомпрометировала по меньшей мере 18 000 жертв примерно в 120 странах, включая правительственные департаменты, правоохранительные органы и провайдеров электронной почты в Северной Африке, Центральной Америке и Юго-Восточной Азии.

Microsoft, которая также опубликовала подробности кампании во вторник, заявила в своем блоге, что ее исследователи идентифицировали более 200 организаций и 5 000 потребительских устройств, затронутых этими хакерскими операциями, включая по меньшей мере три правительственные организации в Африке.

ФБР, как ожидается, объявит о ликвидации нескольких доменов, использованных в этой кампании хакерами. Lumen сообщила, что была частью коалиции, включая ФБР, которая нарушила работу ботнета и вывела его из строя.

Представитель ФБР не ответил на запросы о комментариях до публикации.

Во вторник днем Министерство юстиции США объявило, что нейтрализовало скомпрометированные роутеры, расположенные на территории США, благодаря судебному разрешению. Министерство юстиции заявило, что ФБР «разработало серию команд для отправки на скомпрометированные роутеры» для сбора доказательств, сброса настроек и предотвращения повторного взлома хакерами.

Обновлено с учетом информации из заявления Министерства юстиции.