Ruští hackeři napadají routery TP-Link a MikroTik
Hackeři přesměrovávají provoz ze zranitelných domácích routerů a snaží se získat přístupové údaje k účtům Microsoft Outlook. Kradou také přihlašovací tokeny.
Britské Národní centrum kybernetické bezpečnosti (NCSC) vydalo varování před aktivitami ruské hackerské skupiny APT28. Podle expertů tato skupina od roku 2024 aktivně zneužívá bezpečnostní mezery v běžných domácích a malých firemních routerech. Cílem útoků je krádež přístupových údajů a ověřovacích tokenů pro webové a e-mailové služby, zejména pro Microsoft Outlook. NCSC uvádí, že skupina APT28 je téměř jistě součástí ruské vojenské rozvědky GRU.
Útočníci zneužívají takzvané virtuální privátní servery jako škodlivé DNS překladače. U zranitelných routerů následně přepíší nastavení sítě, takže veškerá připojená zařízení – jako jsou notebooky či mobilní telefony – automaticky přebírají tyto podvržené údaje a odesílají své požadavky přímo na servery pod kontrolou útočníků.
Pokud se uživatel pokusí přihlásit k cílené službě, například do e-mailu, je nenápadně přesměrován na podvrženou stránku. Aby byl útok co nejméně nápadný, běžné webové dotazy mimo sledované cíle jsou odbavovány standardně, takže uživatel výpadek spojení nezaznamená.
Jakmile se oběť na přesměrované infrastruktuře přihlásí, skupina APT28 zachytí hesla a ověřovací tokeny, a to jak z webových prohlížečů, tak z desktopových aplikací. Mezi hlavní cíle útoků patří servery spojené se službami Microsoftu, například outlook.live.com, outlook.office365.com nebo imap-mail.outlook.com.
NCSC konkrétně upozorňuje na routery značky TP-Link, přičemž zranitelných je přes dvacet modelů. Patří mezi ně například oblíbené řady Archer C5 a C7, modely WDR3500 a mnohé varianty WR841N. Hackeři pravděpodobně využívají chybu (označenou jako CVE-2023-50224), která umožňuje získat přihlašovací údaje routeru i bez nutnosti složitého nabourávání do sítě.
Kromě zařízení TP-Link jsou v ohrožení také routery značky MikroTik. Ty byly podle zprávy využívány mimo jiné k cíleným útokům, a to zejména proti zařízením na území Ukrajiny, což ukazuje na zpravodajské motivy akce.
Odborníci doporučují držet se základních bezpečnostních zásad: pravidelně aktualizovat firmware routerů, nikdy nevystavovat správcovské rozhraní směrem do veřejného internetu a všude, kde je to možné, aktivovat dvoufázové ověřování. Skupina APT28 není v kybernetickém světě žádným nováčkem. V minulosti byla spojena například s útokem na německý parlament v roce 2015 nebo s pokusem o napadení Organizace pro zákaz chemických zbraní.
