Ρώσοι χάκερς κατέλαβαν χιλιάδες routers παγκοσμίως για κλοπή κωδικών και tokens

Ρώσοι κυβερνητικοί χάκερς έχουν καταλάβει χιλιάδες routers σε σπίτια και μικρές επιχειρήσεις παγκοσμίως, στοχεύοντας στην ανακατεύθυνση της διαδικτυακής κίνησης των θυμάτων, ώστε να υποκλέπτονται κωδικοί πρόσβασης και access tokens.

Η προειδοποίηση δόθηκε την Τρίτη από ερευνητές ασφαλείας και κυβερνητικές αρχές.

Η δραστηριότητα αποδίδεται στη μακρόχρονη ρωσική ομάδα χάκινγκ Fancy Bear, γνωστή και ως APT 28. Η ομάδα έχει συνδεθεί με υψηλού προφίλ επιχειρήσεις κατασκοπείας και επιθέσεις, μεταξύ των οποίων η παραβίαση της Εθνικής Επιτροπής του Δημοκρατικού Κόμματος των ΗΠΑ το 2016 και η καταστροφική επίθεση που έπληξε τον δορυφορικό πάροχο Viasat το 2022. Η Fancy Bear θεωρείται ευρέως ότι αποτελεί μέρος της ρωσικής υπηρεσίας πληροφοριών GRU.

Στο επίκεντρο της τρέχουσας καμπάνιας βρέθηκαν μη ενημερωμένα routers της MikroTik και της TP-Link. Η μονάδα κυβερνοασφάλειας NCSC του Ηνωμένου Βασιλείου και το Black Lotus Labs, ο ερευνητικός βραχίονας της Lumen, ανέφεραν ότι οι δράστες εκμεταλλεύτηκαν ήδη γνωστές ευπάθειες για να αποκτήσουν πρόσβαση στις συσκευές.

Οι ερευνητές εκτίμησαν ότι, μέσω της παραβίασης routers, οι χάκερ μπόρεσαν να παρακολουθούν μεγάλο αριθμό ανθρώπων επί σειρά ετών. Πολλές από τις συσκευές φέρεται να εκτελούσαν παρωχημένο λογισμικό, γεγονός που τις άφηνε εκτεθειμένες σε απομακρυσμένες επιθέσεις χωρίς να το γνωρίζουν οι ιδιοκτήτες τους.

Το NCSC ανέφερε ότι οι επιχειρήσεις αυτές είναι πιθανό να είναι ευκαιριακές, με τον δράστη να «ρίχνει ένα ευρύ δίχτυ» για να προσεγγίσει πολλούς πιθανούς στόχους και στη συνέχεια να εστιάζει σε στόχους πληροφοριακού ενδιαφέροντος καθώς η επίθεση εξελίσσεται.

Σύμφωνα με τις κυβερνητικές οδηγίες και τους ερευνητές, οι χάκερ τροποποιούσαν τις ρυθμίσεις των routers ώστε τα αιτήματα των θυμάτων στο διαδίκτυο να περνούν κρυφά μέσω υποδομών που ελέγχουν οι ίδιοι. Με αυτόν τον τρόπο μπορούσαν να ανακατευθύνουν τους χρήστες σε πλαστές ιστοσελίδες υπό τον έλεγχό τους και να αποσπούν κωδικούς και tokens. Τα κλεμμένα tokens τους επέτρεπαν να συνδέονται σε διαδικτυακούς λογαριασμούς των θυμάτων χωρίς να απαιτούνται οι κωδικοί επαλήθευσης δύο παραγόντων.

Το Black Lotus Labs ανέφερε ότι η Fancy Bear παραβίασε τουλάχιστον 18.000 θύματα σε περίπου 120 χώρες, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών, υπηρεσιών επιβολής του νόμου και παρόχων email σε περιοχές της Βόρειας Αφρικής, της Κεντρικής Αμερικής και της νοτιοανατολικής Ασίας.

Η Microsoft, η οποία έδωσε επίσης στη δημοσιότητα λεπτομέρειες την Τρίτη, ανέφερε σε ανάρτηση στο blog της ότι οι ερευνητές της εντόπισαν πάνω από 200 οργανισμούς και 5.000 καταναλωτικές συσκευές που επηρεάστηκαν, συμπεριλαμβανομένων τουλάχιστον τριών κυβερνητικών οργανισμών στην Αφρική.

Παράλληλα, το FBI αναμένεται να ανακοινώσει την κατάσχεση αρκετών domains που χρησιμοποιήθηκαν στην καμπάνια. Η Lumen δήλωσε ότι συμμετείχε σε συνασπισμό, μαζί με το FBI, που διέκοψε τη λειτουργία του botnet και το έθεσε εκτός λειτουργίας. Εκπρόσωπος του FBI δεν απάντησε σε αιτήματα σχολιασμού πριν από τη δημοσίευση.