Это последняя тактика давно действующей российской хакерской группировки, известной как Fancy Bear, или APT 28, которая прославилась громкими взломами и шпионскими операциями, включая взлом Национального комитета Демократической партии в 2016 году и разрушительную атаку на спутникового провайдера Viasat в 2022 году. Широко распространено мнение, что Fancy Bear является частью российской спецслужбы ГРУ.
По данным британского правительственного подразделения по кибербезопасности NCSC и исследовательской группы Lumen Black Lotus Labs, опубликовавшей во вторник новые подробности этой кампании, хакерская группировка нацеливалась на незащищенные маршрутизаторы производства MicroTik и TP-Link, используя ранее обнаруженные уязвимости.
По словам исследователей, хакеры смогли шпионить за большим количеством людей на протяжении нескольких лет, компрометируя их маршрутизаторы, многие из которых работали на устаревшем программном обеспечении, что делало их уязвимыми для удаленных атак без ведома владельцев.
NCSC заявило, что эти операции «вероятно, носят оппортунистический характер, когда злоумышленник забрасывает широкую сеть для охвата множества потенциальных жертв, а затем сужает круг до целей, представляющих разведывательный интерес, по мере развития атаки».
Согласно отчетам исследователей и правительственным предупреждениям, российские хакеры взламывали маршрутизаторы для изменения настроек устройства таким образом, чтобы интернет-запросы жертвы незаметно перенаправлялись на инфраструктуру, контролируемую хакерами. Это позволяет хакерам перенаправлять жертв на поддельные веб-сайты под их контролем, а затем красть пароли и токены, которые дают хакерам возможность входить в онлайн-аккаунты жертвы без необходимости использования кодов двухфакторной аутентификации.
Black Lotus Labs сообщила, что Fancy Bear скомпрометировала не менее 18 000 жертв примерно в 120 странах, включая государственные ведомства, правоохранительные органы и почтовые сервисы в странах Северной Африки, Центральной Америки и Юго-Восточной Азии.
Microsoft, также опубликовавшая подробности кампании во вторник, заявила в своем блоге, что ее исследователи выявили более 200 организаций и 5000 потребительских устройств, пострадавших от этих хакерских операций, включая не менее трех государственных организаций в Африке.
Ожидается, что ФБР объявит о выводе из строя нескольких доменов, использовавшихся хакерами в этой кампании. Lumen сообщила, что участвовала в коалиции, включая ФБР, которая пресекла деятельность ботнета и отключила его.
Представитель ФБР не ответил на запросы о комментариях до публикации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
