Mii de routere din întreaga lume, inclusiv din România, au fost compromise într-o amplă operațiune de spionaj cibernetic, atribuită unui grup legat de armata rusă. Atacurile, care au vizat zeci de mii de dispozitive, au avut ca scop redirecționarea utilizatorilor către site-uri web false, menite să fure parole și alte date sensibile.
O Rețea Globală de Dispozitive Infectate
Potrivit unor cercetări recente, între 18.000 și 40.000 de routere din aproximativ 120 de țări au fost afectate de aceste atacuri. Majoritatea dispozitivelor compromise sunt de la producători populari, precum MikroTik și TP-Link. Acestea au fost integrate într-o infrastructură controlată de gruparea APT28, asociată cu GRU, serviciul de informații militare ruse. Grupul APT28 este cunoscut pentru atacuri cibernetice de amploare, desfășurate de peste două decenii, având drept țintă instituții guvernamentale din întreaga lume.
Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu mai beneficiază de actualizări de securitate. După compromitere, aceștia au modificat setările DNS ale routerelor, redirecționând traficul web. Astfel, utilizatorii care accesau anumite servicii online, inclusiv platforme populare precum Microsoft 365, erau direcționați prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, cum ar fi token-uri de autentificare și credențiale.
Tehnici Sofisticate și Riscuri Permanente
Campania de spionaj cibernetic a început la o scară mai mică în mai 2025, dar a crescut semnificativ după august, când autoritățile britanice au emis o alertă cu privire la activități similare. În decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni, ceea ce indică o expansiune rapidă a operațiunii.
Gruparea APT28 are un istoric îndelungat de atacuri. În 2018, aceeași grupare a fost legată de infectarea a aproximativ 500.000 de routere prin intermediul malware-ului VPNFilter. De asemenea, au fost documentate activități similare în anii următori, inclusiv în 2024. Experții recomandă utilizatorilor să verifice setările DNS ale routerelor pentru a identifica eventuale modificări neautorizate și să consulte jurnalele de activitate pentru a depista schimbări suspecte. Utilizatorii sunt sfătuiți să înlocuiască echipamentele care nu mai primesc actualizări de securitate și să evite accesarea site-urilor care generează avertismente legate de certificate nesigure.
Implicații și Măsuri Recomandate
Acest atac evidențiază vulnerabilitățile infrastructurii de rețea utilizate pe scară largă. În lipsa unor măsuri de securitate adecvate, astfel de echipamente pot deveni rapid instrumente în operațiuni de spionaj cibernetic cu impact global.
Sursa: Go4IT
