Российские военные вновь взламывают домашние и офисные маршрутизаторы в рамках масштабных операций, которые перенаправляют ничего не подозревающих пользователей на сайты, собирающие пароли и токены для использования в шпионских кампаниях, сообщили исследователи во вторник. По оценкам, от 18 000 до 40 000 потребительских маршрутизаторов, в основном произведенных компаниями MikroTik и TP-Link, расположенных в 120 странах, были вовлечены в инфраструктуру, принадлежащую APT28, продвинутой группе угроз, которая является частью российской военной разведки, известной как ГРУ, сообщили исследователи из Black Lotus Labs компании Lumen Technologies. Эта группа угроз действует уже более двух десятилетий и стоит за десятками громких взломов, нацеленных на правительства по всему миру. APT28 также известна под такими именами, как Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard и STRONTIUM.
Техническая изощренность и проверенные временем методы. Небольшое количество маршрутизаторов использовалось в качестве прокси для подключения к гораздо большему числу других маршрутизаторов, принадлежащих министерствам иностранных дел, правоохранительным органам и государственным учреждениям, за которыми APT28 хотела шпионить. Группа затем использовала свой контроль над маршрутизаторами, чтобы изменять DNS-запросы для определенных веб-сайтов, включая, как сообщила Microsoft, домены для сервиса компании 365.