Британський центр кібербезпеки National Cyber Security Centre попередив про масштабну кібератаку, яку проводить російське угруповання APT28, повідомляє Tom’s Hardware. Зловмисники використовують уразливі домашні та офісні роутери, щоб викрадати облікові дані користувачів, зокрема доступ до сервісів Microsoft Outlook.
За даними фахівців, атаки тривають щонайменше з 2024 року. Хакери змінюють налаштування DNS і DHCP на пристроях, змушуючи весь інтернет-трафік користувачів проходити через підконтрольні їм сервери. У результаті зловмисники можуть перехоплювати паролі та токени авторизації.
Основною ціллю є сторінки входу до поштових і вебсервісів. При цьому частина запитів перенаправляється на справжні сервери, щоб користувачі не помічали підміну і не втрачали доступ до інтернету.
Серед уразливих пристроїв називають роутери TP-Link та MikroTik, зокрема популярні моделі на кшталт WR841N. У деяких випадках атаки також фіксувалися на пристроях, розташованих в Україні.
Експерти зазначають, що кампанія має масовий характер: хакери спершу заражають велику кількість пристроїв, а потім відбирають серед них цілі, які становлять розвідувальний інтерес.
Експерти радять користувачам оновлювати прошивку роутерів, не відкривати доступ до їхніх налаштувань ззовні та обов’язково вмикати багатофакторну автентифікацію для важливих облікових записів.
Групу APT28, також відому як Fancy Bear, пов’язують із російською військовою розвідкою. Раніше її звинувачували у низці гучних кібератак, зокрема на урядові установи Європи.
