За повідомленнями британського Національного центру кібербезпеки (NCSC), російське хакерське угрупування APT28, ймовірно, пов’язане з ГРУ, з 2024 року активно використовує вразливості у недорогих роутерах, призначених для малих офісів та домашнього використання. Суть атаки полягає в перехопленні керування роутером, шляхом зміни його налаштувань DNS та DHCP, що дозволяє перенаправляти весь трафік користувачів через сервери, контрольовані зловмисниками.
Метою цього хитромудрого маневру є викрадення облікових даних користувачів, зокрема паролів та токенів автентифікації для доступу до електронної пошти та інших веб-сервісів. Після того, як роутер потрапляє під контроль, хакери налаштовують віртуальні сервери, які діють як шкідливі DNS-розв’язувачі, і спрямовують на них трафік з пристроїв, підключених до зламаної мережі. Таким чином, будь-які спроби доступу до певних сайтів, зокрема тих, що пов’язані з сервісами Microsoft Outlook, автоматично перенаправляються на підроблені сторінки.
При цьому, для уникнення підозр та збереження працездатності мережі, запити до інших ресурсів, які не становлять інтересу для зловмисників, обробляються як зазвичай, надаючи легітимні IP-адреси. Коли користувач намагається увійти до своєї електронної пошти або інших захищених сервісів через зламану інфраструктуру, APT28 намагається перехопити введені дані, включаючи паролі та OAuth-токени, як під час браузерних сесій, так і через настільні програми.
Серед пристроїв, що потрапили під приціл, зокрема, виділяється модель TP-Link WR841N, вразливість якої, ймовірно, пов’язана з CVE-2023-50224. Ця вразливість дозволяє зловмиснику отримати доступ до облікових даних роутера за допомогою простого HTTP-запиту. Після отримання доступу, другий запит використовується для зміни DNS-налаштувань, спрямовуючи трафік на зловмисні сервери.
Крім того, список пристроїв, що експлуатуються, включає понад 20 моделей TP-Link, серед яких Archer C5, C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 LTE, а також численні варіації WR740N, WR840N, WR841N, WR842N, WR845N та WR941ND. Також було зафіксовано перехоплення DNS-запитів з компрометованих роутерів MikroTik. Британські фахівці зазначають, що кампанія має на меті охопити якомога ширше коло пристроїв, після чого проводиться фільтрація жертв відповідно до розвідувальних інтересів.
Для захисту від подібних атак рекомендується регулярно оновлювати програмне забезпечення (прошивку) роутера, ніколи не робити інтерфейс управління пристроєм доступним ззовні мережі, а також використовувати багатофакторну автентифікацію для всіх облікових записів, які можуть бути вразливі до крадіжки даних. APT28, також відома під іншими назвами, такими як Fancy Bear, Forest Blizzard та Sofacy, раніше була пов’язана з кібератаками на Бундестаг Німеччини у 2015 році та спробою зламу Організації із заборони хімічної зброї у 2018 році.
