Хакерське угруповання Fancy Bear (APT28), пов’язане з російською розвідкою ГРУ, здійснило масштабну кампанію зі зламу домашніх і корпоративних роутерів для перехоплення інтернет-трафіку та викрадення облікових даних.
За даними дослідників і урядових структур, зловмисники скомпрометували тисячі пристроїв у понад 120 країнах. Основними цілями стали роутери MikroTik і TP-Link, які використовували застаріле ПЗ і мали відомі, але не виправлені вразливості.
Атака базувалася на зміні налаштувань пристроїв. Після компрометації роутера хакери перенаправляли інтернет-запити жертви через власну інфраструктуру. Це дозволяло:
- підміняти легітимні сайти на фішингові копії;
- перехоплювати паролі та access-токени;
- отримувати доступ до акаунтів без необхідності обходу 2FA.
Дослідницький підрозділ Black Lotus Labs компанії Lumen повідомив, що щонайменше 18 000 пристроїв були заражені. Серед постраждалих — урядові організації, правоохоронні структури та поштові сервіси в Африці, Центральній Америці та Південно-Східній Азії.
National Cyber Security Centre зазначає, що кампанія носила «опортуністичний» характер: спочатку здійснювалося масове зараження, після чого відбиралися цінні цілі для подальшого шпигунства.
До розслідування також долучилася Microsoft, яка виявила понад 200 організацій і близько 5000 користувацьких пристроїв, пов’язаних із кампанією, включно з державними структурами.
У відповідь правоохоронні органи США провели операцію з нейтралізації ботнету. Federal Bureau of Investigation за рішенням суду отримало доступ до скомпрометованих роутерів на території США та виконало віддалені команди для:
- збору доказів;
- скидання налаштувань;
- блокування повторного доступу зловмисників.
Крім того, було ліквідовано частину доменів, що використовувалися для управління інфраструктурою атаки.
Ця кампанія є продовженням діяльності Fancy Bear, відомої попередніми операціями, включно зі зламом Демократичного національного комітету США у 2016 році та атакою на супутникову мережу Viasat у 2022 році.
Раніше ми повідомляли, що у відкритий доступ потрапив новий набір експлойтів DarkSword, який дає можливість зламувати iPhone та iPad, що працюють на застарілих версіях iOS. Код опублікували на GitHub, що значно спрощує його використання для кіберзлочинців.