Российских хакеров обвинили во взломе роутеров — от малого бизнеса до госструктур
Британский Национальный центр кибербезопасности (NCSC) заявил, что группа российских хакеров взломала тысячи домашних и корпоративных маршрутизаторов по всему миру. По данным центра, кампания была направлена на перенаправление интернет-трафика жертв для кражи паролей и токенов доступа.
Под подозрение попала хакерская группа Fancy Bear (APT 28). По данным NCSC и исследовательской команды Black Lotus Labs компании Lumen, злоумышленники эксплуатировали уязвимости маршрутизаторов MikroTik и TP-Link, используя ранее раскрытые дыры в безопасности. Устройства с устаревшим программным обеспечением позволяли им получать удаленный доступ без ведома владельцев.
Эксперты отмечают, что атаки носят «оппортунистический характер»: злоумышленники сначала охватывают широкий круг потенциальных жертв, а затем концентрируются на тех, кто представляет интерес для разведки.
Хакеры меняли DNS-настройки роутеров, из-за чего весь интернет-трафик устройств автоматически направлялся через подконтрольные им серверы. Это позволяло создавать поддельные сайты и похищать пароли и токены, в том числе обходя двухфакторную аутентификацию. В частности, атаки были нацелены на сервисы электронной почты и страницы входа в аккаунты.
По данным Black Lotus Labs, вредоносное ПО Fancy Bear затронуло как минимум 18 000 жертв в 120 странах, включая государственные ведомства, правоохранительные органы и почтовые сервисы в Северной Африке, Центральной Америке и Юго-Восточной Азии.
Microsoft сообщила, что исследователи выявили более 200 организаций и 5 000 потребительских устройств, пострадавших от этих операций, включая как минимум три правительства в Африке.
Подпишитесь на «Инк» в Telegram. Там мы пишем нескучным языком о самом важном для предпринимателей. Подписаться.
