Rusia, prin intermediul unor hackeri susținuți de stat, a lansat un atac cibernetic masiv asupra routerelor din întreaga lume, inclusiv din România. Gruparea APT28, cunoscută și sub numele de Fancy Bear sau Unitatea 26165 a GRU (Direcția Generală de Informații a Statului Major al Forțelor Armate ruse), a vizat mii de dispozitive utilizate în locuințe și birouri mici. Unii indivizi din țara noastră, aparent, văd în aceste acțiuni o formă de „ajutorare” din partea Rusiei.
Routerele, ținta atacurilor cibernetice
Agențiile internaționale de securitate cibernetică, inclusiv FBI, NSA și NCSC din Marea Britanie, au raportat și analizat acțiunile grupării. Hackerii au exploatat vulnerabilități în software-ul și configurările nesigure ale routerelor pentru a intercepta traficul de internet. Scopul principal a fost obținerea datelor sensibile, precum parole și date de autentificare. Dispozitive precum Ubiquiti EdgeRouters și anumite modele TP-Link au fost printre cele mai afectate.
Atacatorii au profitat de parole implicite sau slabe, dar și de protocolul SNMP nesecurizat. Odată compromis un dispozitiv, hackerii au acces la sistemul de operare, instalând malware. Acest lucru includea programe precum MASEPIE sau Moobot, care transformă routerele în infrastructuri proxy ascunse. Prin modificarea setărilor DNS și interceptarea conexiunilor, APT28 a putut analiza comunicațiile și colecta date importante.
Cum funcționează atacul și ce riscuri implică
Metoda de atac se bazează pe redirecționarea traficului web prin servere controlate de hackeri. Aceștia analizează comunicațiile pentru a aduna parole, tokenuri OAuth și date de autentificare NTLMv2. Dispozitivele compromise pot fi, de asemenea, folosite pentru a găzdui pagini de phishing sau pentru a valida credențiale de e-mail furate anterior. Astfel, atacatorii își pot ascunde originea și identitatea.
Pentru utilizatorii obișnuiți, riscul principal constă în compromiterea datelor personale și financiare. Informațiile furate pot fi folosite pentru furt de identitate, acces neautorizat la conturi bancare sau răspândirea de informații false. Companiile pot suferi pierderi financiare și daune de reputație considerabile. Recuperarea datelor este dificilă, dacă nu imposibilă, fără o curățare completă a sistemului.
Măsuri de protecție esențiale
Autoritățile au colaborat pentru a neutraliza o parte din această rețea de tip botnet. Recomandările pentru utilizatori și administratori de rețele sunt clare. Repornirea unui router compromis nu elimină malware-ul. Este necesară o resetare completă la setările din fabrică, urmată de actualizarea firmware-ului.
Schimbarea numelor de utilizator și a parolelor implicite cu variante complexe este crucială. Implementarea regulilor stricte de firewall pentru a bloca accesul neautorizat la distanță este, de asemenea, esențială. Aceste măsuri pot reduce semnificativ riscul de a cădea victimă acestor atacuri cibernetice sofisticate.
