Руски военни хакери са проникнали в широко използвани домашни и бизнес интернет рутери във Великобритания, пренасочвайки трафика на потребителите към контролирани от тях сървъри, предупреждава британският Национален център за киберсигурност (NCSC), цитиран от Financial Times.

Агенцията посочва, че зад атаките стои групата APT28, подразделение на руското военно разузнаване (ГРУ), известно с високопрофилни кибероперации.

Хакерите са използвали уязвимости в интернет рутери, за да компрометират DNS. Тази техника позволява прихващане и пренасочване на интернет трафик, както и кражба на пароли и токени за достъп до онлайн услуги. Сред засегнатите устройства са модели на TP-Link и MikroTik, които са широко разпространени както при домашни потребители, така и в малкия бизнес на територията на Великобритания.

Атаката се възползва от слабости в интернет инфраструктурата.

Руски хакери удариха Международния наказателен съд, севернокорейски - множество компании в САЩ

Държавен хактивизъм: Москва и Пхенян продължават да атакуват западните институции и бизнеса

Чрез намеса в системата за домейн имена (DNS), която преобразува уеб адреси в IP адреси, хакерите могат незабелязано да пренасочват потребителите към фалшиви сайтове, събиращи чувствителна информация като логин данни и пароли. По думите на директора по операциите в NCSC Пол Чичестър, случаят показва как „експлоатацията на слабости в широко използвани мрежови устройства“ може да се използва от висококвалифицирани групи хакери. От институцията препоръчват базови, но критични мерки – редовно обновяване на софтуера на устройствата, както и използване на защита от вируси.

Анализът на NCSC сочи, че кампанията вероятно е „на случаен принцип“: първоначално обхваща широк кръг жертви, след което атаките се насочват към конкретни цели с разузнавателна стойност.

Групата APT28, известна още като Fancy Bear или Forest Blizzard, е свързана с някои от най-значимите кибератаки през последното десетилетие, включително пробиви в системите на Демократическата партия в САЩ, германския Бундестаг и логистични мрежи, подпомагащи Украйна.

Атаката срещу Axios показва как чрез седмици социално инженерство и фалшива корпоративна идентичност хакери успяват да получат достъп до разработчик и да разпространят зловреден код, излагайки на риск хиляди системи по света

Когато един компонент отключва хиляди системи: Севернокорейска атака разкрива уязвимостта на отворения код

Случаят се вписва в по-широкия геополитически контекст на нарастващи киберзаплахи. TP-Link вече е била обект на внимание от американски експерти, които я свързват с мащабни китайски кибероперации като Volt Typhoon и Salt Typhoon, насочени към проникване в критичната инфраструктура на САЩ.

Компанията отхвърля твърденията и заявява, че подобни атаки не са насочени към конкретен производител, а към широк спектър устройства.

Междувременно Federal Communications Commission (FCC) в САЩ вече е забранила продажбата на нови потребителски рутери с чуждестранен произход, аргументирайки се с риск за веригата на доставки и националната сигурност.