Mii de routere din România și din întreaga lume au fost compromise într-o amplă operațiune de spionaj cibernetic, atribuită unui grup legat de armata rusă. Atacurile vizează furtul de date sensibile de la utilizatori, prin redirecționarea traficului către site-uri controlate de atacatori.
Un atac cu impact global
Conform cercetărilor efectuate de specialiști, între 18.000 și 40.000 de routere din aproximativ 120 de țări au fost afectate. Printre producătorii de routere vizați se numără MikroTik și TP-Link. Aceste dispozitive au fost integrate într-o infrastructură controlată de gruparea APT28, asociată cu serviciul de informații militare ruse GRU. Grupul APT28 este cunoscut pentru atacuri cibernetice asupra instituțiilor guvernamentale din întreaga lume.
Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au primit actualizări de securitate. După compromitere, aceștia modificau setările DNS și propagau schimbările către dispozitivele conectate. Când utilizatorii accesau anumite servicii online, inclusiv platforme precum Microsoft 365, traficul era redirecționat prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, inclusiv parole și alte date personale.
Tehnici sofisticate și ținte specifice
Operațiunea de spionaj a început la o scară mai mică în mai 2025, dar s-a intensificat după august, când autoritățile britanice au emis o alertă privind activități similare. În decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă. Aceasta sugerează o extindere rapidă a atacului.
APT28 are un istoric îndelungat în domeniul atacurilor cibernetice. În 2018, grupul a fost asociat cu infectarea a aproximativ 500.000 de routere prin malware-ul VPNFilter. Activități similare au fost documentate și în anii următori, inclusiv în 2024. Experții recomandă utilizatorilor să verifice setările DNS ale routerului pentru a detecta modificări neautorizate. De asemenea, este sugerat să se consulte jurnalele de activitate pentru a identifica eventuale schimbări suspecte. Utilizatorii sunt sfătuiți să înlocuiască echipamentele care nu mai primesc actualizări de securitate și să evite accesarea site-urilor care generează avertismente legate de certificate nesigure.
Recomandări pentru utilizatori
Acest tip de atac subliniază importanța măsurilor de securitate a rețelei. Lipsa unor măsuri adecvate poate transforma rapid echipamentele în instrumente de spionaj cibernetic cu impact global.
Autoritățile au raportat recent o creștere a numărului de incidente de securitate cibernetică, accentuând necesitatea unei atenții sporite asupra acestui tip de amenințare.
