Mii de routere din întreaga lume, folosite de persoane fizice și companii mici, au fost compromise într-o operațiune extinsă de spionaj cibernetic. Atacurile au fost atribuite unui grup asociat cu armata rusă, cu scopul de a redirecționa utilizatorii către site-uri web care fură date sensibile.
O Rețea Globală de Dispozitive Compromise
Potrivit cercetărilor efectuate de specialiștii de la Black Lotus Labs, între 18.000 și 40.000 de routere au fost afectate în aproximativ 120 de țări. Majoritatea dispozitivelor vizate sunt produse de MikroTik și TP-Link. Aceste routere au fost integrate într-o infrastructură controlată de grupul APT28, asociat cu serviciul de informații militare ruse, GRU.
Grupul APT28 este cunoscut pentru atacurile sale asupra instituțiilor guvernamentale din întreaga lume. Operațiunile de acest tip se desfășoară de peste două decenii, demonstrând o capacitate constantă de a exploata vulnerabilitățile sistemelor informatice.
Metode Sofisticate și Vulnerabilități Exploitabile
Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au beneficiat de actualizări de securitate. După compromitere, aceștia au modificat setările DNS și au propagat schimbările către dispozitivele conectate la rețea. La accesarea anumitor servicii online, inclusiv platforme precum Microsoft 365, traficul utilizatorilor era redirecționat prin servere controlate de atacatori.
Aceste servere serveau drept intermediari, interceptând conexiunile și colectând date sensibile, inclusiv token-uri de autentificare și credențiale obținute chiar și după autentificarea multifactor. Această tactică permitea accesul neautorizat la conturile utilizatorilor.
Recomandări pentru Utilizatori și Risc Persistent
Specialiștii recomandă verificarea setărilor DNS ale routerului pentru a identifica eventuale modificări. De asemenea, este utilă consultarea jurnalelor de activitate pentru a depista schimbări suspecte. Utilizatorii sunt sfătuiți să înlocuiască echipamentele care nu mai primesc actualizări de securitate. De asemenea, se recomandă evitarea accesării site-urilor care generează avertismente legate de certificate nesigure.
Campania a început în mai 2025, la scară redusă, dar s-a intensificat semnificativ după august, când autoritățile britanice au emis o alertă. În decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni.
