Федеральне бюро розслідувань (ФБР) та Агентство з кібербезпеки та захисту інфраструктури (CISA) США оголосили про успішне припинення тривалої кібершпигунської кампанії, що проводилася російською хакерською групою APT28, також відомою як Fancy Bear. Ця операція була спрямована на компрометацію мережевого обладнання для подальшого перехоплення конфіденційних даних. Атака включала експлуатацію вразливостей у широко використовуваних маршрутизаторах, що дозволило зловмисникам встановити контроль над трафіком жертв.
Група APT28 використовувала відомі або раніше невідомі вразливості (0-day) у маршрутизаторах виробництва TP-Link та MikroTik. Після успішної експлуатації, зловмисники отримували несанкціонований доступ до пристроїв та модифікували їхні налаштування. Ключовим елементом атаки було перехоплення DNS-трафіку (DNS Hijacking), що є формою атаки "людина посередині" (Adversary-in-the-Middle, AitM). Це дозволяло APT28:
- Перенаправляти користувачів на підконтрольні зловмисникам вебсайти, які імітували легітимні ресурси.
- Викрадати облікові дані (логіни та паролі) шляхом фішингу.
- Перехоплювати та модифікувати мережевий трафік, отримуючи доступ до конфіденційної інформації.
- Встановлювати шкідливе програмне забезпечення на пристрої жертв.
Таким чином, навіть якщо користувач вводив правильну адресу сайту, його запит міг бути перенаправлений на шкідливий ресурс без його відома.
Ця кібершпигунська операція становить значну загрозу для широкого кола організацій та приватних користувачів, особливо тих, хто використовує вразливі моделі маршрутизаторів TP-Link та MikroTik. До потенційних жертв належать:
- Урядові установи та державні організації: Через високий інтерес APT28 до геополітичної інформації.
- Організації критичної інфраструктури: Енергетика, телекомунікації, водопостачання.
- Оборонні підприємства та підрядники: З огляду на військові інтереси Росії.
- Неурядові організації та аналітичні центри: Особливо ті, що працюють з чутливою інформацією або мають зв'язки з Україною та її партнерами.
- Будь-які організації та приватні особи, чий мережевий трафік може бути цікавим для державницьких акторів.
Враховуючи агресивну діяльність APT28 проти України, українські організації, що використовують зазначені маршрутизатори, перебувають у зоні підвищеного ризику.
Для мінімізації ризиків компрометації через вразливості маршрутизаторів, Cyber Index UA рекомендує наступні заходи:
- Регулярне оновлення прошивки: Завжди використовуйте найновіші версії прошивки для всіх мережевих пристроїв, особливо маршрутизаторів. Перевіряйте наявність оновлень на офіційних сайтах виробників.
- Складні та унікальні паролі: Змініть стандартні облікові дані для доступу до адміністративної панелі маршрутизатора. Використовуйте складні, унікальні паролі.
- Перевірка налаштувань DNS: Регулярно перевіряйте, які DNS-сервери налаштовані на вашому маршрутизаторі та на кінцевих пристроях. Використовуйте довірені DNS-сервери (наприклад, Google DNS, Cloudflare DNS).
- Вимикання віддаленого доступу: Якщо віддалений доступ до маршрутизатора не є критично необхідним, вимкніть його.
- Сегментація мережі: Розділіть мережу на сегменти, щоб ізолювати критично важливі системи від менш захищених.
- Використання VPN: Для доступу до конфіденційних ресурсів використовуйте надійні VPN-сервіси.
- Моніторинг мережевого трафіку: Відстежуйте незвичайні DNS-запити або підозрілу активність у мережі.
- Аудит безпеки: Проводьте регулярні аудити безпеки мережевої інфраструктури.