Ruska vojska ponovno hakuje kućne i male poslovne usmjerivače u široko rasprostranjenim operacijama koje korisnike bez njihovog znanja preusmjeravaju na stranice koje prikupljaju lozinke i vjerodajnice za korištenje u špijunskim kampanjama, rekli su istraživači u utorak.
Procjenjuje se da je između 18.000 i 40.000 potrošačkih usmjerivača, većinom onih proizvedenih od strane MikroTik i TP-Link, smješteno u 120 zemalja, uključeno u infrastrukturu koja pripada APT28, naprednoj prijetnji koja je dio ruske vojne obavještajne agencije GRU, rekli su istraživači iz Lumen Technologies’ Black Lotus Labs. Ova prijetnja djeluje već najmanje dva desetljeća i odgovorna je za brojne visoko profilirane hakove koji ciljaju vlade širom svijeta. APT28 je također poznat pod imenima poput Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard i STRONTIUM.
Mali broj usmjerivača korišten je kao posrednici za povezivanje s mnogo većim brojem drugih usmjerivača koji pripadaju stranim ministarstvima, policiji i vladinim agencijama koje je APT želio špijunirati. Grupa je zatim iskoristila kontrolu nad usmjerivačima kako bi promijenila DNS pretraživanja za odabrane web stranice, uključujući, kako je Microsoft rekao, domene za svoju 356 uslugu.
“Poznata po miješanju najmodernijih alata kao što je veliki jezični model (LLM) ‘LAMEHUG’ s provjerenim, dugotrajnim tehnikama, Forest Blizzard dosljedno razvija svoje taktike kako bi ostala ispred branitelja,” napisali su istraživači Black Lotus. “Njihove prethodne i trenutne kampanje ističu i njihovu tehnološku sofisticiranost i spremnost da se vrate klasičnim metodama napada čak i nakon javnog izlaganja, naglašavajući stalni rizik koji ovaj akter predstavlja organizacijama širom svijeta.”
Kako bi preuzeli kontrolu nad usmjerivačima, napadači su iskoristili starije modele koji nisu bili zakrpljeni protiv poznatih sigurnosnih ranjivosti. Zatim su promijenili DNS postavke za odabrane domene i koristili Dynamic Host Configuration Protocol kako bi ih prenijeli na radne stanice povezane s usmjerivačima. Kada su povezani uređaji posjetili odabrane domene, njihova su se povezivanja posredovala kroz zloćudne poslužitelje prije nego što su stigla do odredišta.
