Mii de routere compromise într-o campanie atribuită serviciilor militare ruse

Mii de routere utilizate de persoane fizice și birouri mici au fost compromise într-o operațiune extinsă de spionaj cibernetic atribuită unui grup afiliat armatei ruse.

Atacurile au vizat redirecționarea utilizatorilor către site-uri capabile să colecteze parole și alte date sensibile.

O rețea globală de dispozitive compromise

Potrivit cercetărilor realizate de Black Lotus Labs din cadrul Lumen Technologies, între 18.000 și 40.000 de routere au fost afectate în aproximativ 120 de țări.

Cele mai multe dispozitive vizate aparțin producătorilor MikroTik și TP-Link. Acestea au fost integrate într-o infrastructură controlată de gruparea APT28, asociată serviciului de informații militare ruse GRU.

Grupul este activ de peste două decenii și este cunoscut pentru atacuri asupra instituțiilor guvernamentale din întreaga lume.

Metode sofisticate și tehnici cunoscute

Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au primit actualizări de securitate. După compromitere, aceștia au modificat setările DNS și au propagat schimbările către dispozitivele conectate.

În momentul accesării anumitor servicii online, inclusiv platforme precum Microsoft 365, traficul utilizatorilor era redirecționat prin servere controlate de atacatori.

Aceste servere intermediare interceptau conexiunile și colectau date sensibile, inclusiv token-uri de autentificare și credențiale obținute chiar și după finalizarea autentificării multifactor.

O operațiune în expansiune

Campania a început în mai 2025, la scară redusă, dar s-a intensificat semnificativ după august, când autoritățile britanice au emis o alertă privind activități similare.

În decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni, semn al extinderii rapide a operațiunii.

Un istoric îndelungat de atacuri

Gruparea APT28 nu se află la prima astfel de acțiune. În 2018, a fost asociată cu infectarea a aproximativ 500.000 de routere prin malware-ul VPNFilter. Activități similare au fost documentate și în anii următori, inclusiv în 2024.

Recomandări pentru utilizatori

Specialiștii recomandă verificarea setărilor DNS ale routerului pentru a identifica eventuale modificări neautorizate. De asemenea, este utilă consultarea jurnalelor de activitate pentru a depista schimbări suspecte.

Utilizatorii sunt sfătuiți să înlocuiască echipamentele care nu mai primesc actualizări de securitate și să evite accesarea site-urilor care generează avertismente legate de certificate nesigure.

Un risc persistent

Acest tip de atac evidențiază vulnerabilitățile infrastructurii de rețea utilizate la scară largă. În lipsa unor măsuri de securitate adecvate, astfel de echipamente pot deveni rapid instrumente în operațiuni de spionaj cibernetic cu impact global.