Centrul Național de Securitate Cibernetică din Regatul Unit (NCSC) a publicat recent o alertă importantă în care se subliniază faptul că grupul de hackeri APT28, susținut de statul rus, încearcă în mod activ să exploateze vulnerabilitățile de pe routerele business și civile vulnerabile, pentru a obține acces la diferite sisteme securizate, dar în principal pentru a accesa serverele de poștă electronică utilizate în Outlook.
Procesul se desfășoară din 2024, și se bazează pe exploatarea vulnerabilităților routerelor respective, unde modifică setările DHCP și DNS pentru a redirecționa traficul din rețeaua locală să treacă prin serverele lor, care sunt analizate pentru parole și alte metode de acces la diferite pagini web sau aplicații. Potrivit britanicilor, APT28 este aproape sigur legată de serviciile secrete ruse, adică este angajată de cel de-al 85-lea Centru principal de servicii speciale al Direcției Generale de Informații a Rusiei (GRU) sub forma Unității militare de informații 26616.
Domeniile care sunt vizate de redirecționări se numesc autodiscover-s.outlook.com, imap-mail.outlook.com, outlook.live.com, outlook.office.com și outlook.office365.com.
În cadrul atacului, sunt exploatate vulnerabilități cum ar fi CVE-2023-50224, identificată în routerul TP-Link WR841N, unde datele de identificare pot fi accesate fără identificarea utilizatorului prin simpla scriere a unei cereri http GET corespunzătoare. În cazul în care datele utilizatorului sunt extrase cu succes, se va crea o a doua conexiune la serverul DNS primar asociat serviciului DHCP, prin care se modifică DNS-ul să se adreseze serverelor care scanează conexiunile, creând un tunel prin care se fură date:
Lista routerelor TP-Link afectate:
- TP-LINK LTE WIRELESS N ROUTER MR6400
- TP-LINK ROUTER GIGABIT WIRELESS DUAL BAND ARCHER C5
- TP-LINK ROUTER GIGABIT WIRELESS DUAL BAND ARCHER C7
- TP-LINK ROUTER GIGABIT WIRELESS DUAL BAND WDR3600
- TP-LINK ROUTER GIGABIT WIRELESS DUAL BAND WDR4300
- TP-LINK ROUTER WIRELESS DUAL BAND WDR3500
- TP-LINK ROUTER WIRELESS LITE N WR740N
- TP-LINK ROUTER WIRELESS LITE N WR740N/WR741ND
- TP-LINK ROUTER WIRELESS LITE N WR749N
- TP-LINK ROUTER WIRELESS N 3G/4G MR3420
- TP-LINK PUNCT DE ACCES WIRELESS N WA801ND
- TP-LINK WIRELESS N ACCESS POINT WA901ND
- TP-LINK ROUTER GIGABIT WIRELESS N WR1043ND
- TP-LINK ROUTER WIRELESS N GIGABIT WR1045ND
- TP-LINK ROUTER WIRELESS N WR840N
- TP-LINK ROUTER WIRELESS N WR841HP
- TP-LINK ROUTER WIRELESS N WR841N
- TP-LINK ROUTER WIRELESS N WR841N/WR841ND
- TP-LINK ROUTER WIRELESS N WR842N
- TP-LINK ROUTER WIRELESS N WR842ND
- TP-LINK ROUTER WIRELESS N WR845N
- TP-LINK ROUTER WIRELESS N WR941ND
- TP-LINK ROUTER WIRELESS N WR945N
Potrivit experților, unele routere MikroTik sunt și ele atacate, dar majoritatea sunt din Ucraina. Potrivit britanicilor, APT28 captează datele în masă, din care pot extrage ulterior conținutul dorit, bazat pe coduri IP specifice țărilor vizate.
Suprafața de atac poate fi redusă în mod semnificativ prin actualizarea dispozitivelor, prin setarea de protocoale de securitate avansate, schimbarea credențialelor periodice, sau trecerea la un router mai serios, unele din lista de mai sus nefiind suportate și actualizate.
APT28 nu este o echipă necunoscută, este activă în spațiul online de mult timp, și a purtat diverse nume în trecut, inclusiv Fancy Bear, Forest Blizzard și Sofacy.
