Një grup hakerësh qeveritarë rusë kanë rrëmbyer mijëra routerë shtëpish dhe biznesesh të vogla në të gjithë botën, si pjesë e një fushate të vazhdueshme që synon ridrejtimin e trafikut të internetit të viktimave për të vjedhur fjalëkalimet dhe tokenët e tyre të aksesit, paralajmëruan të martën studiuesit e sigurisë dhe autoritetet qeveritare.
Kjo është taktika më e fundit nga grupi i gjatë rus i hakerave i njohur si Fancy Bear, ose APT 28, i njohur për sulmet e tij të profilit të lartë dhe operacionet e spiunazhit, duke përfshirë shkeljen e Komitetit Kombëtar Demokrat në vitin 2016 dhe sulmin shkatërrues që goditi ofruesin e satelitëve Viasat në vitin 2022. Fancy Bear besohet gjerësisht se është pjesë e agjencisë së inteligjencës ruse GRU.
Grupi i hakerave shënjestroi routerë të pa-patchuar të prodhuar nga MikroTik dhe TP-Link duke përdorur dobësi të zbuluara më parë sipas njësisë së sigurisë kibernetike të qeverisë së Mbretërisë së Bashkuar NCSC dhe krahut kërkimor të Lumen, Black Lotus Labs, të cilët publikuan detaje të reja të fushatës të martën.
Sipas studiuesve, hakerat ishin në gjendje të spiunonin një numër të madh njerëzish gjatë disa viteve duke kompromentuar routerat e tyre, shumë prej të cilëve përdorin softuer të vjetëruar, duke i lënë ata të prekshëm ndaj sulmeve në distancë pa dijeninë e pronarëve të tyre.
NCSC tha se këto operacione janë “me shumë mundësi oportuniste në natyrë, me aktorin që hedh një rrjet të gjerë për të arritur shumë viktima të mundshme, përpara se të kufizohet në objektivat me interes të inteligjencës ndërsa sulmi zhvillohet”.
Lexo edhe: FBI: Hakerët rusë po synojnë llogaritë në Signal dhe WhatsApp
Sipas studiuesve dhe këshillave qeveritare, hakerat rusë hakuan routerat për të modifikuar cilësimet e pajisjes në mënyrë që kërkesat e internetit të viktimës të kalohen fshehurazi në infrastrukturën e drejtuar nga hakerat. Kjo u lejon hakerave të ridrejtojnë viktimat në faqet e internetit të rreme nën kontrollin e tyre, pastaj të vjedhin fjalëkalime dhe tokena që i lejojnë hakerat të hyjnë në llogaritë online të viktimës pa pasur nevojë për kodet e tyre të vërtetimit me dy faktorë.
Black Lotus Labs tha se Fancy Bear kompromentoi të paktën 18,000 viktima në rreth 120 vende, duke përfshirë departamentet qeveritare, agjencitë e zbatimit të ligjit dhe ofruesit e email-it në të gjithë Afrikën e Veriut, Amerikën Qendrore dhe Azinë Juglindore.
Microsoft, i cili gjithashtu publikoi detaje të fushatës të martën, tha në një postim në blog se studiuesit e saj identifikuan mbi 200 organizata dhe 5,000 pajisje konsumatorësh të prekura nga këto operacione hakerimi, duke përfshirë të paktën tre organizata qeveritare në Afrikë.
FBI pritet të njoftojë heqjen e disa domeneve të përdorura në këtë fushatë nga hakerat. Lumen tha se ishte pjesë e një koalicioni, përfshirë FBI-në, që ndërpreu botnet-in dhe e çaktivizoi atë.
Një zëdhënës i FBI-së nuk iu përgjigj kërkesave për koment para publikimit.
Të martën pasdite, Departamenti i Drejtësisë i SHBA-së njoftoi se neutralizoi routerët e kompromentuar të vendosur në tokën e SHBA-së, falë një autorizimi gjykate. Departamenti i Drejtësisë tha se FBI “zhvilloi një seri komandash për t’i dërguar te routerët e kompromentuar”, për të mbledhur prova, për të rivendosur cilësimet dhe për të parandaluar hakerat që të rihynin.
