Powiązana z rosyjskim wywiadem wojskowym grupa APT28 (Fancy Bear) prowadzi obecnie globalną kampanię przejmowania routerów domowych i firmowych, umożliwiającą przekierowywanie ruchu internetowego, omijanie zabezpieczeń i kradzież danych uwierzytelniających. Skala operacji obejmuje dziesiątki tysięcy urządzeń oraz setki organizacji, co potwierdza jej wywiadowczy charakter. Z informacji opublikowanych przez badaczy bezpieczeństwa oraz instytucje rządowe wynika, że ataki wykorzystują znane, ale niezałatane luki w urządzeniach m.in. firm TP-Link i MikroTik. W wielu przypadkach chodzi o sprzęt działający na przestarzałym oprogramowaniu, co umożliwia zdalne przejęcie kontroli bez wiedzy użytkownika. Po uzyskaniu dostępu do routera hakerzy modyfikują jego ustawienia, przekierowując ruch internetowy ofiary przez własną infrastrukturę. Pozwala to na podsuwanie fałszywych stron logowania i przechwytywanie haseł oraz tokenów dostępu. Taka metoda umożliwia także obejście mechanizmów uwierzytelniania dwuskładnikowego, co znacząco zwiększa skuteczność ataku. Według brytyjskiej jednostki ds. cyberbezpieczeństwa NCSC, działania mają charakter szeroko zakrojony: atakujący najpierw infekują dużą liczbę urządzeń, a następnie selekcjonują cele o znaczeniu wywiadowczym. Skala globalna, cele strategiczne Z danych Black Lotus Labs wynika, że wspomniana kampania objęła co najmniej 18 tys. urządzeń w około 120 krajach. Wśród ofiar znajdują się instytucje rządowe, organy ścigania oraz dostawcy usług cyfrowych, szczególnie w Afryce Północnej, Azji Południowo-Wschodniej i Ameryce Środkowej. Z kolei Microsoft zidentyfikował ponad 200 organizacji i około 5 tys. urządzeń konsumenckich dotkniętych atakami, w tym podmioty rządowe w Afryce. Równolegle niemiecki wywiad BfV ostrzegł, że APT28 wykorzystuje podobne techniki do szpiegowania celów wojskowych, administracji publicznej i infrastruktury krytycznej. W Niemczech zidentyfikowano dziesiątki podatnych urządzeń, a część z nich została już skompromitowana i wymagała wymiany. Reakcja służb i neutralizacja botnetu Na działania grupy odpowiedziały służby międzynarodowe. FBI - we współpracy z partnerami, w tym firmą Lumen - przeprowadziło operację zakłócenia działania botnetu wykorzystywanego przez hakerów. Departament Sprawiedliwości USA poinformował, że na mocy decyzji sądu zneutralizowano zainfekowane routery na terenie kraju. FBI wysyłało do nich serię specjalnych poleceń, które resetowały ustawienia i blokowały możliwość ponownego przejęcia kontroli. Planowane jest również zamknięcie domen wykorzystywanych w kampanii. Znana grupa, nowe metody APT28 od lat pozostaje jedną z najbardziej aktywnych grup cyberwywiadowczych. Odpowiada m.in. za atak na Komitet Partii Demokratycznej w USA w 2016 roku oraz operację wymierzoną w infrastrukturę satelitarną Viasat w 2022 roku. Obecna kampania pokazuje jednak zmianę podejścia – zamiast bezpośrednich ataków na organizacje, hakerzy coraz częściej wykorzystują słabo zabezpieczoną infrastrukturę sieciową jako punkt wejścia. Dla użytkowników i firm oznacza to jedno: nawet podstawowe urządzenia, takie jak routery, stają się krytycznym elementem bezpieczeństwa cyfrowego – i wymagają regularnych aktualizacji oraz właściwej konfiguracji.
