Російська воєнна розвідка знову опинилася в центрі міжнародного кіберскандалу. Хакерське угруповання APT28, відоме як Fancy Bear, реалізувало масштабну операцію, зламавши тисячі мережевих пристроїв по всьому світу. Цього разу головною зброєю зловмисників стали звичайні домашні та офісні роутери, які перетворилися на інструменти для шпигунства.
Географія атаки вражає – скомпрометовані пристрої виявлено у понад 120 країнах. Найбільш вразливими виявилися моделі брендів MikroTik та TP-Link. Хакери використовували критичну помилку користувачів: застаріле програмне забезпечення та відомі вразливості, які тривалий час залишалися без відповідних оновлень безпеки.
Механізм перехоплення трафіку та крадіжки даних
Зловмисники діяли витончено, змінюючи внутрішні налаштування пристроїв для маніпуляцій з інтернет-запитами. Після проникнення в систему хакери спрямовували трафік користувачів через власні сервери, що відкривало шлях до низки небезпечних маніпуляцій.
- Створення фішингових копій популярних ресурсів замість оригінальних сайтів.
- Несанкціоноване перехоплення паролів та спеціальних токенів доступу.
- Отримання повного контролю над обліковими записами, ігноруючи системи двофакторної автентифікації.
Фахівці з Black Lotus Labs, що є підрозділом компанії Lumen, зафіксували зараження щонайменше 18 000 пристроїв. Жертвами стали не лише приватні особи, а й урядові структури, правоохоронці та поштові адміністрації в країнах Центральної Америки, Африки та Південно-Східної Азії.
Представники National Cyber Security Centre характеризують цю кампанію як «опортуністичну». Це означає, що ворог спочатку проводив тотальне зараження всіх доступних пристроїв, а вже потім виокремлював серед них найбільш цінні об’єкти для проведення подальшої розвідки.
До аналізу інциденту долучилася корпорація Microsoft. Її експерти ідентифікували понад 200 організацій та близько 5000 користувачів, які постраждали від дій хакерів, включаючи державні установи різних рівнів.
Американські правоохоронці перейшли до активної контрнаступальної фази. FBI, отримавши відповідні судові дозволи, провело операцію з нейтралізації ботнету на території США. Агенти дистанційно підключалися до зламаних роутерів для виконання захисних дій.
- Оперативний збір цифрових доказів злочинної діяльності.
- Повне скидання налаштувань пристроїв до безпечного стану.
- Встановлення технічних бар’єрів для запобігання повторному зламу.
Паралельно було знищено частину доменної інфраструктури, через яку здійснювалося керування цією глобальною мережею. Це дозволило розірвати зв’язок між зараженими пристроями та серверами зловмисників.
Поточна активність Fancy Bear є прямим продовженням їхнього агресивного курсу. Раніше це угруповання вже фігурувало у гучних справах, таких як злам серверів Демократичної партії США у 2016 році та масштабна кібератака на супутникову мережу Viasat у перші дні повномасштабного вторгнення в Україну 2022 року.
Залишити коментар