Kućni routeri na nišanu ruskih hakera, koji putem njihovih ranjivosti kradu podatke
Britanski NCSC upozorava na kampanju ruske vojne obavještajne službe koja preotimanjem mrežnog prometa preko ranjivih routera cilja na krađu lozinki i digitalnih tokena korisnika širom svijeta
Britanski Nacionalni centar za kibernetičku sigurnost (NCSC) objavio je protekloga tjedna upozorenje o aktivnostima ruske kibernetičke skupine APT28, navodno povezane s vojnom obavještajnom službom GRU. Prema njihovim podacima, napadači sustavno iskorištavaju ranjivosti u široko korištenim kućnim routerima kako bi proveli operacije otimanja DNS-a (DNS hijacking). Ta im tehnika omogućuje da prikriveno preusmjere internetski promet korisnika na zlonamjerne poslužitelje pod njihovom kontrolom, čime pak dobivaju pristup osjetljivim podacima.
TP-Link i MikroTik u fokusu
Glavni cilj ovih operacija je prikupljanje vjerodajnica za prijavu, uključujući lozinke i pristupne tokene za osobne web usluge i elektroničku poštu. Paul Chichester, direktor operacija u NCSC-u, istaknuo je kako ova aktivnost pokazuje na koji način sofisticirani državni akteri mogu iskoristiti propuste u široko rasprostranjenim mrežnim uređajima. Napadi su opisani kao oportunistički, gdje napadači prvo ciljaju široku bazu uređaja, a potom filtriraju žrtve koje bi mogle imati visoku obavještajnu vrijednost.
Istraga je identificirala da su na meti posebno bili modeli usmjerivača TP-Link i MikroTik. Primjerice, kod modela TP-Link WR841N napadači su vjerojatno koristili poznatu ranjivost CVE-2023-50224, koja omogućuje neovlaštenim osobama izvlačenje informacija poput lozinki putem posebno oblikovanih HTTP zahtjeva. Jednom kada ovladaju uređajem, napadači mijenjaju postavke DNS-a i DHCP-a, čime osiguravaju da svi uređaji unutar te mreže – poput prijenosnih računala i pametnih telefona – automatski koriste kompromitirane postavke.
Promjena konfiguracije omogućuje napadačima ostvarivanje "man in the middle" napada, jer kad korisnik pokuša pristupiti legitimnim uslugama, poput Microsoft Outlooka, zlonamjerni DNS poslužitelj ga preusmjerava na lažnu stranicu koja izgleda identično pravoj. Na tim stranicama korisnici nesvjesno unose svoje podatke, koje hakeri potom koriste za daljnje upade u korporativne ili privatne mreže, održavajući prisutnost čak i nakon ponovnog pokretanja uređaja.
Potreban oprez
Stručnjaci naglašavaju da je ovakve napade teško otkriti konvencionalnim metodama jer se manipulacija događa na razini mrežne infrastrukture, izvan dosega standardnih antivirusnih programa na samim računalima. NCSC stoga poziva organizacije i mrežne administratore da hitno pregledaju svoje mrežne uređaje i primijene dostupne sigurnosne zakrpe, a objavili su i popis modela routera za koje su sumnja da bi mogli biti kompromitirani na opisani način.
Kao ključne mjere zaštite navode se zamjena zastarjele opreme kojoj je istekla podrška proizvođača, redovito ažuriranje firmwarea te promjena zadanih korisničkih imena i lozinki na routerima. Također se savjetuje isključivanje sučelja za udaljeno upravljanje putem Interneta i kontinuirano praćenje neautoriziranih promjena u DNS postavkama.
Ovo britansko upozorenje dolazi samo koji tjedan nakon što su vlasti SAD-a zabranile uvoz novih modela routera, proizvedenih u svim stranim zemljama, s ciljem zaštite građana od zlonamjernih napada.
