Британський Національний центр кібербезпеки (NCSC) б’є на сполох через нову глобальну загрозу. Російське хакерське угруповання APT28, яке безпосередньо пов’язують із Головним управлінням розвідки (ГУР) РФ, розгорнуло масштабну кампанію з кібершпигунства. Зловмисники масово зламують вразливі домашні та офісні маршрутизатори (роутери), щоб отримати доступ до конфіденційних даних користувачів. Про це повідомляє авторитетне профільне видання Tom’s Hardware. Основною мішенню цієї операції є облікові записи електронної пошти, зокрема сервіси Microsoft Outlook.
За даними британських фахівців із кіберзахисту, активна фаза цієї шкідливої кампанії триває щонайменше з початку 2024 року. Стратегія хакерів відрізняється особливою підступністю: вони не просто заражають пристрої вірусами, а втручаються в базові налаштування мережі. Зокрема, зловмисники несанкціоновано змінюють параметри DNS (системи доменних імен) та DHCP на атакованих маршрутизаторах. Це дозволяє їм перенаправляти весь інтернет-трафік жертви через власні, повністю підконтрольні сервери. Завдяки такому перехопленню російські спецслужби отримують можливість фіксувати паролі, логіни та токени авторизації нічого не підозрюючих користувачів.
Щоб залишатися непоміченими якомога довше, хакери застосовують тактику часткового перенаправлення. Більшість безпечних запитів вони все ж таки пропускають на легітимні сервери. Таким чином, користувач не відчуває жодних проблем зі з’єднанням, швидкість інтернету не падає, а сторінки завантажуються у звичному режимі. Проте саме в момент входу в поштові скриньки чи корпоративні веб-сервіси відбувається непомітна підміна, і дані потрапляють до рук ворога.
Експерти наголошують, що найчастіше жертвами стають власники популярних бюджетних маршрутизаторів від компаній TP-Link та MikroTik. Як приклад, наводиться поширена модель TP-Link WR841N, яка встановлена у мільйонах домогосподарств по всьому світу. Тривожним сигналом є те, що численні випадки таких атак були офіційно зафіксовані й на території України. Ворог активно використовує кіберпростір як додатковий фронт, паралельно з тим, як Росія продовжує покладатися на іноземні технології у своїй збройній агресії. До слова, нещодавно стало відомо про іншу вразливість західного контролю: ГУР розсекретило десятки одиниць західного обладнання, яке живить ракетну програму Росії.
Кіберкампанія носить масовий, але водночас структурований характер. Спочатку угруповання APT28 «кидає широку сітку», автоматизовано заражаючи максимально можливу кількість вразливих пристроїв. Після цього аналітики російської розвідки фільтрують отриманий масив доступу, виокремлюючи лише ті цілі, які становлять реальний розвідувальний інтерес — державних службовців, військових, журналістів, представників критичної інфраструктури. Угруповання APT28, також відоме у світі кібербезпеки як Fancy Bear або Forest Blizzard, має довгу історію гучних злочинів. Їх звинувачують у втручанні у вибори, атаках на урядові установи країн Європи та США. Ця діяльність є частиною ширшої гібридної війни РФ, яка включає не лише хакерські атаки, але й інформаційно-психологічні операції, такі як поширення планів щодо створення «буферної зони» на Вінниччині з боку Придністров’я.
Зважаючи на високий рівень загрози, фахівці Національного центру кібербезпеки Великої Британії надали чіткі рекомендації для захисту. По-перше, користувачам необхідно негайно перевірити наявність оновлень мікропрограми (прошивки) свого роутера на офіційному сайті виробника та встановити останню версію. По-друге, категорично забороняється залишати відкритою функцію віддаленого керування маршрутизатором через інтернет (Remote Management). Також життєво важливим кроком є налаштування багатофакторної автентифікації (2FA) для всіх критично важливих облікових записів, що унеможливить доступ зловмисників навіть у разі перехоплення базового пароля. Регулярна зміна паролів адміністратора на пристрої та уважність до цифрової безпеки залишаються головними правилами захисту у воєнний час.