По сообщениям британского Национального центра кибербезопасности (NCSC), российская хакерская группировка APT28, вероятно, связана с ГРУ, с 2024 года активно использует уязвимости в недорогих роутерах, предназначенных для малых офисов и домашнего использования. Суть атаки заключается в перехвате управления роутером путем изменения его настроек DNS и DHCP, что позволяет перенаправлять весь трафик пользователей через серверы, контролируемые злоумышленниками.
Целью этого хитроумного маневра является похищение учетных данных пользователей, в том числе паролей и токенов аутентификации для доступа к электронной почте и другим веб-сервисам. После того, как роутер попадает под контроль, хакеры настраивают виртуальные серверы, действующие как вредоносные DNS-разрешители, и направляют на них трафик с устройств, подключенных к сломанной сети. Таким образом, любые попытки доступа к определенным сайтам, в частности, связанным с сервисами Microsoft Outlook, автоматически перенаправляются на поддельные страницы.
При этом во избежание подозрений и сохранения работоспособности сети запросы к другим ресурсам, не представляющим интереса для злоумышленников, обрабатываются как обычно, предоставляя легитимные IP-адреса. Когда пользователь пытается войти в свою электронную почту или другие защищенные сервисы через сломанную инфраструктуру, APT28 пытается перехватить введенные данные, включая пароли и OAuth-токены, как во время браузерных сессий, так и через настольные программы.
Среди попавших под прицел устройств, в частности, выделяется модель TP-Link WR841N, уязвимость которой, вероятно, связана с CVE-2023-50224. Эта уязвимость позволяет злоумышленнику получить доступ к учетным данным роутера с помощью простого HTTP-запроса. После получения доступа второй запрос используется для изменения DNS-настроек, направляя трафик на вредоносные серверы.
Кроме того, список эксплуатируемых устройств включает более 20 моделей TP-Link, среди которых Archer C5, C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 LTE, а также многочисленные вариации WR740N, WR84 WR845N и WR941ND. Также был зафиксирован перехват DNS-запросов из компрометированных роутеров MikroTik. Британские специалисты отмечают, что кампания имеет целью охватить как можно более широкий круг устройств, после чего производится фильтрация жертв в соответствии с разведывательными интересами.
Для защиты от подобных атак рекомендуется регулярно обновлять программное обеспечение (прошивку) роутера, никогда не делать интерфейс управления устройством доступным извне сети, а также использовать многофакторную аутентификацию для всех аккаунтов, которые могут быть уязвимы к краже данных. APT28, также известная под другими названиями, такими как Fancy Bear, Forest Blizzard и Sofacy, ранее была связана с кибератаками на Бундестаг Германии в 2015 году и попыткой взлома Организации по запрещению химического оружия в 2018 году.
