«Русские» хакеры перехватывают интернет-трафик, используя уязвимые маршрутизаторы
Изображение: grok
Британский Национальный центр кибербезопасности предупредил о новой схеме российской группировки APT28 — хакеры взламывают маршрутизаторы и тихо пропускают чужой трафик через свою инфраструктуру. Цель — перехват паролей, токенов и другой чувствительной информации.
Механика атаки прямолинейная, но эффективная. Хакеры находят маршрутизаторы с известными уязвимостями и меняют в них параметры DHCP и DNS. После этого все устройства внутри сети — ноутбуки, смартфоны, всё подряд — начинают автоматически ходить на серверы атакующих, даже не подозревая об этом.
Дальше включается фильтрация. Запросы к сервисам авторизации и почте уходят на инфраструктуру хакеров, остальной трафик идёт как обычно. Это хитрый ход — сеть внешне работает нормально, и шансы на обнаружение падают. Классическая атака «человек посередине», только незаметная.
С 2024 года APT28 развернула под это дело сеть виртуальных серверов, работающих как вредоносная DNS-инфраструктура. Исследователи нашли два отдельных кластера, каждый из нескольких согласованно работающих узлов — все они принимают поток запросов от заражённых маршрутизаторов.
Среди конкретных устройств в отчёте упоминается TP-Link WR841N. Предполагается, что атакующие эксплуатируют уязвимость CVE-2023-50224, через которую можно добраться до конфиденциальных данных с помощью специально сформированных запросов. После проникновения хакеры переписывают сетевые параметры и берут маршрутизацию трафика под контроль.
Как уточняют британские ИБ-эксперты, хакеры нацелены прежде всего сегмент малых офисов и домашних сетей. Именно там оборудование обновляют реже, следят за настройками меньше, а защита слабее. Для долгосрочных операций слежки это идеальная среда.
