Az Egyesült Királyság és a Microsoft biztonsági szakemberei szerint az orosz kötődésű Fancy Bear hackercsoport elavult fogyasztói routereket céloz meg, köztük sok olyan támogatási életciklusa végéhez ért TP-Link eszközt is, melyekhez már nem érhetők el szoftverjavítások.
Több ezer otthoni és vállalati routert kompromittáltak orosz hackerek egy kiterjedt kampány részeként, melynek keretében az átirányított internetes forgalmon keresztül jelszavakat és hitelesítési tokeneket szerezhettek meg tömegesen az áldozatul esett Microsoft Office felhasználóktól – hívták fel a figyelmet rá biztonsági kutatók és kormányzati szervek.
Az eddigi szakértői vizsgálatok szerint nagy rá az esély, hogy a támadássorozat ismét a Fancy Bear/APT28/Forest Blizzard nevű csoport akciója lehet, amiről a szakmában úgy hírlik, hogy az orosz katonai hírszerzés (GRU) egyik kiberkémkedési egysége lehet. A csoport neve egyebek mellett az ukrán energiaszektor ellen intézett támadások, illetve a 2016-os amerikai elnökválasztás befolyásolása kapcsán is ismerős lehet.
A hackercsoport a MikroTik és a TP-Link gyártók elavult, friss biztonsági javításokkal már nem támogatott routereit vette célba korábban feltárt sebezhetőségeket kihasználva – közölte az Egyesült Királyság kormányának kiberbiztonsági egysége, az NCSC a Black Lotus Labs-szel közös vizsgálat ismertetésekor. A kutatók szerint az illetéktelen elkövetők akár több éven keresztül tudnak kémkedni a felhasználók széles köre után a routerek feltörésével. Mivel sok router elavult szoftvert futtat és a felhasználók nem kellően tudatosan a védelemmel kapcsolatban, ezek az eszközök szinte észrevétlenül váltak könnyen sebezhető célpontokká a távoli támadásokhoz.
Az NCSC szerint a routerek feltörésekor az elkövetők módosították az eszközbeállításokat annak megfelelően, hogy az áldozat internetes forgalma az általuk üzemeltett infrastruktúrára irányuljon, és hamis weboldalakon keresztül ellophassák jelszavaikat, tokenjeiket, melyekkel akár kétfaktoros hitelesítési kód nélkül is bejelentkezhettek személyes online fiókokba.
A Black Lotus Labs vizsgálata szerint a csoport legalább 18 ezer áldozatot fertőzött meg mintegy 120 országban, az áldozatok közt találhatók kormányzati szervek, bűnüldöző szervek és szolgáltatók Észak-Afrikában, Közép-Amerikában és Délkelet-Ázsiában. A Microsoft kutatói több mint 200 szervezetet és 5000 fogyasztói eszközt azonosítottak érintettként, köztük legalább három afrikai kormányzati szervezetet.
