Brytyjskie Narodowe Centrum Cyberbezpieczeństwa alarmuje: zwykłe routery używane w domach i małych firmach stały się narzędziem zaawansowanej operacji szpiegowskiej. Sprawcą jest rosyjska grupa APT28, znana z wcześniejszych ataków na instytucje państwowe i organizacje międzynarodowe.
Według najnowszych ustaleń cyberprzestępcy przejmują kontrolę nad popularnymi urządzeniami sieciowymi, aby po cichu przechwytywać loginy i hasła użytkowników. Wśród celów znajduje się m.in. Microsoft Outlook, jeden z najczęściej używanych systemów poczty elektronicznej na świecie.
Router staje się punktem wejścia. Dalej wszystko odbywa się już bez widocznych sygnałów ostrzegawczych.
Atak zaczyna się od routera
Schemat działania nie przypomina klasycznego phishingu. Zamiast podszywać się pod strony logowania, hakerzy atakują samo źródło połączenia z internetem. Wykorzystywane są routery marek TP-Link i MikroTik, szczególnie modele używane w domach oraz małych biurach. Po uzyskaniu dostępu do urządzenia napastnicy zmieniają jego ustawienia DNS i DHCP. To sprawia, że cały ruch internetowy przechodzi przez serwery kontrolowane przez atakujących.
Dla użytkownika wszystko wygląda normalnie. Strony się ładują, poczta działa, połączenie nie znika. W rzeczywistości dane logowania mogą być przechwytywane w tle.
Przekierowanie bez śladu
Najbardziej niepokojący element tej operacji to jej niewidoczność. Ruch kierowany jest inteligentnie. Zapytania dotyczące usług takich jak Outlook trafiają do infrastruktury hakerów, natomiast pozostałe są przekazywane poprawnie.
Efekt jest prosty. Ofiara nie zauważa niczego podejrzanego, a jednocześnie przekazuje swoje dane uwierzytelniające wprost w ręce atakujących.
Eksperci podkreślają, że wykorzystywane są również tokeny sesji oraz mechanizmy OAuth, które pozwalają na dostęp do kont bez konieczności ponownego wpisywania hasła.
Operacja o dużym zasięgu
Według analizy National Cyber Security Centre kampania trwa co najmniej od 2024 roku i ma charakter masowy. Hakerzy skanują sieć w poszukiwaniu podatnych urządzeń, a następnie selekcjonują najbardziej wartościowe cele. Za operacją stoi struktura powiązana z rosyjskim wywiadem wojskowym GRU. APT28 była wcześniej łączona z atakami na parlamenty, instytucje badawcze i organizacje międzynarodowe. Tym razem pole działania rozszerzono na infrastrukturę domową.
Słaby punkt internetu
Router przez większość użytkowników traktowany jest jak sprzęt typu „ustaw i zapomnij”. Rzadko aktualizowany, często z domyślnym hasłem, staje się idealnym celem.
Problem polega na tym, że po przejęciu routera atak obejmuje wszystkie urządzenia w sieci. Laptopy, smartfony i tablety automatycznie korzystają z ustawień narzuconych przez zainfekowany sprzęt, co oznacza, że jedno zaniedbanie może otworzyć drogę do całej cyfrowej tożsamości użytkownika.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
Rosjanie przejmują routery TP-Link. Sprawdź swój sprzęt