За даними провідних експертів з кібербезпеки, хакерські угруповання, пов'язані з військовою розвідкою Росії, активно експлуатують відомі вразливості в застарілих моделях інтернет-маршрутизаторів. Метою цієї масштабної кампанії є масове викрадення автентифікаційних токенів користувачів Microsoft Office. Ця шпигунська операція дозволила російським державним хакерам непомітно збирати токени з користувачів у понад 18 000 мережах, при цьому не розгортаючи жодного шкідливого програмного забезпечення чи коду на кінцевих пристроях.
Ключова особливість цієї кампанії полягає у використанні вже відомих, але часто не виправлених, вразливостей у прошивках старих моделей маршрутизаторів. Замість прямого зараження систем користувачів, зловмисники зосереджуються на компрометації мережевого обладнання. Після отримання доступу до маршрутизатора, хакери можуть перехоплювати мережевий трафік або маніпулювати ним, щоб викрасти сесійні токени, які генеруються під час автентифікації користувачів у хмарних сервісах Microsoft Office. Це дозволяє їм отримати доступ до облікових записів без необхідності знати паролі.
- Експлуатація відомих вразливостей: Атака базується на публічно відомих недоліках у безпеці маршрутизаторів, для яких вже існують патчі.
- Без "шкідливого ПЗ": На кінцевих точках не виявляється традиційне шкідливе програмне забезпечення, що ускладнює виявлення атаки стандартними антивірусними засобами.
- Викрадення токенів: Основна мета – отримати автентифікаційні токени, які надають тимчасовий доступ до облікових записів Microsoft Office 365.
Загроза є актуальною для широкого кола організацій та приватних користувачів, які використовують сервіси Microsoft Office та покладаються на застаріле або не оновлене мережеве обладнання. Особливо вразливими є:
- Малі та середні підприємства (МСП): Часто мають обмежені ресурси для моніторингу та оновлення мережевої інфраструктури.
- Державні установи: Можуть використовувати старе обладнання, що не завжди вчасно оновлюється.
- Користувачі з домашніми маршрутизаторами: Багато домашніх користувачів не оновлюють прошивку своїх пристроїв роками.
- Будь-яка організація: Що не має належної політики управління патчами та оновленнями для мережевого обладнання.
Для мінімізації ризиків компрометації Cyber Index UA настійно рекомендує наступні заходи:
- Негайне оновлення прошивки маршрутизаторів: Перевірте наявність оновлень для всіх мережевих пристроїв та встановіть їх.
- Використання надійних паролів: Для доступу до адміністративної панелі маршрутизатора та інших мережевих сервісів.
- Багатофакторна автентифікація (MFA): Завжди вмикайте MFA для всіх облікових записів Microsoft Office та інших критично важливих сервісів. Це значно ускладнює використання викрадених токенів.
- Регулярний аудит мережевого обладнання: Перевіряйте конфігурації та журнали маршрутизаторів на предмет підозрілої активності.
- Сегментація мережі: Ізолюйте критично важливі системи від менш захищених сегментів мережі.
- Моніторинг мережевого трафіку: Впровадження систем виявлення вторгнень (IDS/IPS) може допомогти виявити аномалії.