Ruska vojska hakuje: Ako imate ovaj ruter, vaši podaci i lozinke su u ozbiljnoj opasnosti

Ruska vojska ponovo hakuje rutere u domovima i malim kancelarijama u okviru širokih operacija koje nesvesne korisnike šalju na sajtove za prikupljanje lozinki i kredencijala koji se koriste u špijunskim kampanjama, saopštili su istraživači za sajber bezbednost.

Procenjuje se da je između 18.000 i 40.000 korisničkih rutera, uglavnom proizvođača MikroTik i TP-Link, lociranih u 120 zemalja, uvučeno u infrastrukturu koja pripada grupi APT28. Reč je o naprednoj pretnji koja je deo ruske vojne obaveštajne službe poznate kao GRU, navode istraživači iz laboratorije Black Lotus Labs kompanije Lumen Technologies. Ova grupa deluje najmanje dve decenije i stoji iza desetina visokoprofilnih hakovanja usmerenih na vlade širom sveta. APT28 se takođe prati pod imenima kao što su Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard i STRONTIUM.

Mali broj rutera korišćen je kao proksi (posrednik) za povezivanje sa znatno većim brojem drugih rutera koji pripadaju ministarstvima spoljnih poslova, organima reda i vladinim agencijama koje je APT28 želeo da špijunira. Grupa je zatim koristila kontrolu nad ruterima da izmeni DNS pretrage za određene veb sajtove, uključujući, prema navodima Microsofta, domene za uslugu Microsoft 365.

"Poznat po kombinovanju vrhunskih alata, kao što je veliki jezički model (LLM) 'LAMEHUG', sa proverenim, dugogodišnjim tehnikama, Forest Blizzard neprestano razvija svoju taktiku kako bi ostao ispred odbrambenih sistema", napisali su istraživači Black Lotusa. "Njihove prethodne i sadašnje kampanje ističu i njihovu tehnološku sofisticiranost i spremnost da se vrate klasičnim metodama napada čak i nakon javnog razotkrivanja, što naglašava stalni rizik koji ovaj akter predstavlja za organizacije širom sveta".

• Iranski hakeri ne biraju: "Šarmantno mače" napada sve
• Hakeri upali u sisteme Evropske komisije – ukradeno čak 350 GB poverljivih podataka
• Haos u sajber sistemu: Žestok udar na "digitalno srce" Ukrajine
• FBI upozorio: Niste bezbedni, Rusi vas špijuniraju

Da bi preuzeli kontrolu nad ruterima, napadači su koristili starije modele koji nisu imali zakrpe za poznate bezbednosne propuste. Zatim su menjali DNS postavke za odabrane domene i koristili Dynamic Host Configuration Protocol (DHCP) da ih prošire na radne stanice povezane na ruter. Kada bi povezani uređaji posetili odabrane domene, njihove veze su išle preko zlonamernih servera pre nego što bi stigle do odredišta.

Kada bi krajnji korisnik kliknuo i prošao kroz upozorenja pretraživača, serveri bi snimili sav saobraćaj koji prolazi kroz njih. Između ostalog, prikupljali su OAuth tokene i druge akreditive koji se postavljaju nakon što korisnici, nesvesni da se njihove veze prisluškuju, završe višefaktorsku autentifikaciju (MFA).

Operacija je počela u maju 2025. godine na ograničenom broju uređaja. Zatim je u avgustu britanski Nacionalni centar za sajber bezbednost objavio upozorenje o kampanji zlonamernog softvera koju je grupa koristila za "presretanje i izvlačenje akreditiva i tokena za Microsoft Office naloge". Sledećeg dana, grupa je naglo intenzivirala hakovanje rutera, što je aktivnost koju je nastavila da pojačava u narednim mesecima.

• Haos u Mosadu: Hakeri objavili 100.000 tajnih dokumenata – procurilo sve
• Opasnost za korisnike: iPhone na meti ruskih hakera, kradu se podaci i lokacije
• Panika na mračnom vebu: "Rupa" u Windowsu se prodaje za 220.000 dolara

Tokom četvoronedeljnog perioda koji je počeo 12. decembra, Black Lotus je primetio više od 290.000 jedinstvenih IP adresa koje su poslale barem jedan DNS upit zlonamernom APT28 DNS serveru. "Ovo sugeriše da se akter, čim bi jedna mogućnost bila razotkrivena, odmah prebacivao na drugu kako bi nastavio sa prikupljanjem materijala za autentifikaciju", napisali su istraživači.

APT28 ima dugu istoriju hakovanja rutera. U 2018. godini istraživači su otkrili da je 500.000 uređaja, uglavnom u SAD, zaraženo malverom pod nazivom VPNFilter. U 2024. godini, Ministarstvo pravde SAD ponovo je uhvatilo grupu u istoj aktivnosti.

Kako da se zaštitite

Najlakši način da ljudi saznaju da li je njihov ruter kompromitovan jeste da pregledaju trenutna DNS podešavanja i provere da li su na listi nepoznati serveri. 

Korisnici bi takođe trebalo da provere dnevnike događaja (event logs) na bilo kakve nepoznate promene u postavkama DNS servera. 

Preporučuje se i zamena zastarelih (end-of-life) rutera onima koji redovno dobijaju bezbednosna ažuriranja. 

Takođe, korisnici nikada ne bi smeli da ignorišu i predkaču upozorenja pretraživača o nepouzdanim TLS sertifikatima.