Mii de routere din întreaga lume au fost compromise într-o campanie extinsă de spionaj cibernetic, atribuită unui grup legat de armata rusă. Atacurile au vizat redirecționarea utilizatorilor către site-uri web false, concepute pentru a fura parole și alte date confidențiale.
O Amplă Rețea de Dispozitive Vulnerabile
Conform cercetărilor efectuate de Black Lotus Labs, între 18.000 și 40.000 de routere din aproximativ 120 de țări au fost afectate. Majoritatea dispozitivelor compromise sunt produse de MikroTik și TP-Link. Acestea au fost integrate într-o infrastructură controlată de gruparea APT28, asociată cu serviciul de informații militare ruse, GRU.
Grupul APT28 este cunoscut pentru o istorie îndelungată de atacuri cibernetice, fiind activ de peste două decenii. Țintele acestora au inclus frecvent instituții guvernamentale din diferite țări.
Tehnici Sofisticate și Exploatarea Vulnerabilităților
Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au beneficiat de actualizări de securitate. După compromitere, aceștia au modificat setările DNS ale routerelor, propagând schimbările către dispozitivele conectate. Când utilizatorii accesau anumite servicii online, inclusiv platforme precum Microsoft 365, traficul lor era redirecționat prin servere controlate de atacatori.
Aceste servere intermediare interceptau conexiunile și colectau date sensibile. Aceste date includeau token-uri de autentificare și credențiale obținute chiar și după finalizarea autentificării prin metode de protecție suplimentare.
Cercetătorii au observat o creștere semnificativă a activității în ultimele luni. În decembrie, au fost identificate peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni.
Recomandări pentru Utilizatori și Consecințe
Specialiștii recomandă utilizatorilor să verifice setările DNS ale routerelor pentru a detecta orice modificare neautorizată. De asemenea, monitorizarea jurnalelor de activitate poate ajuta la identificarea schimbărilor suspecte. Înlocuirea echipamentelor care nu mai primesc actualizări de securitate este o altă măsură importantă. Este esențial să se evite accesarea site-urilor care generează avertismente legate de certificate nesigure.
În 2018, aceeași grupare a fost legată de infectarea a aproximativ 500.000 de routere prin intermediul malware-ului VPNFilter.
Aceste atacuri, care s-au intensificat semnificativ începând cu luna august a anului 2025, ilustrează vulnerabilitățile infrastructurii de rețea utilizate pe scară largă, putând deveni instrumente în operațiuni de spionaj cibernetic cu impact global.
