Это последняя тактика российской хакерской группы, известной как Fancy Bear или APT 28, которая прославилась своими громкими взломами и шпионскими операциями, включая взлом Национального комитета Демократической партии США в 2016 году и разрушительную атаку на спутникового провайдера Viasat в 2022 году. Широко считается, что Fancy Bear является частью российской разведывательной службы ГРУ. Хакерская группа нацелилась на незащищенные маршрутизаторы, произведенные компаниями MikroTik и TP-Link, используя ранее раскрытые уязвимости, согласно данным британского подразделения кибербезопасности NCSC и исследовательского подразделения Lumen, Black Lotus Labs, которые во вторник опубликовали новые детали кампании.
По данным исследователей, хакеры смогли шпионить за большим количеством людей на протяжении нескольких лет, взламывая их маршрутизаторы, многие из которых работают на устаревшем программном обеспечении, что делает их уязвимыми для удаленных атак без ведома владельцев. NCSC заявило, что эти операции "вероятно носят оппортунистический характер, при этом злоумышленник забрасывает широкую сеть, чтобы достичь многих потенциальных жертв, прежде чем сосредоточиться на целях, представляющих разведывательный интерес, по мере развития атаки."
Согласно данным исследователей и правительственных рекомендаций, российские хакеры взламывали маршрутизаторы, чтобы изменить настройки устройства так, чтобы интернет-запросы жертвы тайно передавались на инфраструктуру, управляемую хакерами. Это позволяет хакерам перенаправлять жертв на поддельные веб-сайты под их контролем, а затем красть пароли и токены, которые позволяют хакерам входить в онлайн-аккаунты жертвы без необходимости в кодах двухфакторной аутентификации.
Black Lotus Labs заявила, что Fancy Bear скомпрометировала как минимум 18 000 жертв в около 120 странах, включая правительственные департаменты, правоохранительные органы и поставщиков электронной почты в Северной Африке, Центральной Америке и Юго-Восточной Азии. Microsoft, которая также опубликовала детали кампании во вторник, сообщила в своем блоге, что ее исследователи выявили более 200 организаций и 5 000 потребительских устройств, пострадавших от этих хакерских операций, включая как минимум три правительственные организации в Африке.
Ожидается, что ФБР объявит о закрытии нескольких доменов, использованных в этой кампании хакерами. Lumen заявила, что она была частью коалиции, включая ФБР, которая разрушила ботнет и вывела его из строя. Представитель ФБР не ответил на запросы о комментариях до публикации. Во вторник днем Министерство юстиции США объявило, что нейтрализовало скомпрометированные маршрутизаторы, расположенные на территории США, благодаря судебному разрешению. Министерство юстиции заявило, что ФБР "разработало серию команд для отправки на скомпрометированные маршрутизаторы," чтобы собрать доказательства, сбросить настройки и предотвратить повторное проникновение хакеров. Информация обновлена с учетом заявления Министерства юстиции.