Руският разузнавателен екип APT28, свързван с военното разузнаване на Русия GRU, е компрометирал хиляди домашни и офис рутери в 23 щата на САЩ, за да прихваща интернет трафик, да краде идентификационни данни и да изгражда мрежа от заразени устройства. Това става ясно от съвместно предупреждение на американски федерални агенции, публикувано на 7 април.
Според властите атаката е била насочена към т.нар. SOHO рутери – устройства за малки офиси и домашни мрежи. Основната цел е била събиране на информация за военни, правителствени и критични инфраструктурни обекти.
Кибератаката е известна като DNS hijacking. При нея нападателите променят мрежовите настройки на рутера, за да прихващат DNS заявки и да наблюдават интернет трафика на потребителите без тяхно знание.
От Microsoft Threat Intelligence посочват, че операцията е дала на руските хакери „постоянна и пасивна видимост“ върху мрежите на жертвите. Компанията е идентифицирала над 200 организации и около 5000 потребителски устройства, засегнати от атаката.
Американското ФБР свързва операцията с групата APT28, известна още като Fancy Bear и Forest Blizzard. Според разследването дейността продължава поне от 2024 година.
Сред засегнатите устройства са десетки модели на TP-Link, включително популярните серии Archer, WR и MR. Особено внимание се обръща на модела TP-Link TL-WR841N, пуснат на пазара още през 2007 година.
От британския National Cyber Security Centre публикуваха списък с 23 TP-Link модела, използвани в атаките. Компанията потвърди, че всички засегнати устройства вече са достигнали статус End of Life и не получават стандартни обновления за сигурност.
Говорител на TP-Link Systems заяви, че за някои остарели модели са разработени ограничени защитни актуализации, но препоръката към потребителите остава ясна – подмяна на старите рутери с по-нови устройства.
Експерти по киберсигурност предупреждават, че рутерите се превръщат във все по-честа цел на държавно спонсорирани атаки. Според Daniel Dos Santos от компанията Forescout тенденцията за експлоатиране на домашни и корпоративни рутери нараства бързо.
Американската NSA и ФБР препоръчват няколко спешни мерки за защита на домашните мрежи. Сред тях са редовно обновяване на фърмуера, смяна на фабричните потребителски имена и пароли, изключване на дистанционното управление на рутера и периодично рестартиране на устройствата.
Експертите съветват също използването на VPN услуги, които криптират интернет трафика и ограничават риска от прихващане на данни. Според препоръките на NSA рутерите, смартфоните и компютрите трябва да бъдат рестартирани поне веднъж седмично, за да се премахват потенциални зловредни импланти.
Все още няма коментари. Бъдете първи!