Hackerii ruși se folosesc de routere pentru spionaj în masă

router. Sursa foto: Freepik

Autoritățile britanice din domeniul securității cibernetice au avertizat asupra unei campanii extinse de spionaj digital desfășurate de grupul APT28, asociat serviciilor de informații militare ale Rusiei, potrivit The Record.

Atacurile vizează routere utilizate la scară largă în locuințe și organizații, permițând interceptarea traficului de internet și colectarea de informații sensibile la nivel global.

Potrivit experților, campania este activă de mai mult timp și exploatează vulnerabilități cunoscute în echipamente de rețea insuficient securizate, afectând mii de dispozitive și sute de organizații.

Routerele vulnerabile, punctul de intrare pentru atacatorii Rusiei

Centrul Național de Securitate Cibernetică din Regatul Unit (NCSC) a precizat că atacatorii au vizat în special routere de tip SOHO (small office/home office), produse de companii precum TP-Link, care utilizează frecvent software învechit sau configurări slabe de securitate.

Potrivit analizei tehnice, hackerii au reușit să obțină acces la aceste dispozitive exploatând parole implicite sau protocoale nesecurizate.

„Activitatea se concentrează pe compromiterea routerelor expuse la internet, adesea din cauza setărilor slabe de securitate sau a software-ului neactualizat”, au transmis autoritățile britanice.

Odată compromişi, acești routere devin puncte strategice pentru supravegherea traficului de rețea. Experții subliniază că atacatorii modifică setările DNS, redirecționând traficul prin servere controlate de aceștia.

Interceptarea datelor și furtul de credențiale

Prin această metodă, cunoscută sub numele de „DNS hijacking”, utilizatorii pot fi redirecționați fără să știe către infrastructură controlată de hackeri. Aceasta permite interceptarea datelor sensibile, inclusiv parole, tokenuri de autentificare sau comunicații criptate.

Un raport tehnic arată că „setările DNS au fost modificate pentru a deturna traficul local și a captura credențiale de autentificare”, ceea ce a permis colectarea de date fără interacțiunea directă a victimelor.

#APT28 open directory on 203.161.50[.]145 that contained what appears to be a complete Roundcube exploitation toolkit.https://t.co/Tsb7w1NK0z pic.twitter.com/YyMV3t061O

— blackorbird (@blackorbird) March 13, 2026

De asemenea, pentru ținte selectate, atacatorii au folosit tehnici avansate de tip „adversary-in-the-middle”, prin care au interceptat conexiuni securizate și au extras informații sensibile din fluxul de date.

Amploarea atacurilor Rusiei la nivel global

Datele furnizate de compania Microsoft indică o amploare semnificativă a operațiunii. Potrivit evaluărilor, peste 5.000 de dispozitive utilizate de consumatori și mai mult de 200 de organizații au fost afectate.

În același timp, cercetătorii în securitate au identificat la apogeul campaniei peste 18.000 de routere compromise la nivel mondial, în cel puțin 120 de țări.

Autoritățile americane au precizat că această infrastructură a fost utilizată pentru a viza persoane și instituții de interes strategic pentru Kremlin, inclusiv din domenii guvernamentale, militare și infrastructură critică.

APT28, un actor cibernetic cu istoric extins

Grupul APT28, cunoscut și sub denumirile Fancy Bear sau Forest Blizzard, este atribuit unității 26165 a serviciului de informații militare ruse GRU, potrivit evaluărilor serviciilor britanice.

Acesta este implicat în numeroase operațiuni de spionaj cibernetic din ultimul deceniu. Printre cele mai cunoscute se numără atacurile asupra Comitetului Național Democrat din SUA în 2016, dar și alte campanii care au vizat instituții guvernamentale și organizații internaționale.

Experții subliniază că actuala campanie marchează o evoluție a tacticilor utilizate. Spre deosebire de atacurile tradiționale asupra sistemelor informatice, compromiterea routerelor permite acces indirect, dar persistent, la rețele extinse de utilizatori.

„Prin compromiterea dispozitivelor de la marginea rețelei, actorii pot exploata active mai puțin monitorizate pentru a ajunge la ținte mai importante”, au explicat specialiștii Microsoft.

Recomandări pentru limitarea riscurilor

Autoritățile britanice și partenerii internaționali au emis recomandări pentru limitarea riscurilor. Printre acestea se numără actualizarea firmware-ului routerelor, schimbarea parolelor implicite și dezactivarea protocoalelor nesecurizate.

Oficialii au subliniat importanța conștientizării riscurilor asociate dispozitivelor aparent banale. „Această activitate demonstrează cum vulnerabilitățile din dispozitive utilizate pe scară largă pot fi exploatate de actori susținuți de state”, a declarat un reprezentant al NCSC.

Campania evidențiază, potrivit specialiștilor, o tendință în creștere a utilizării infrastructurii civile pentru operațiuni de spionaj cibernetic, într-un context geopolitic tensionat.