Centrul Național de Securitate Cibernetică din Regatul Unit a publicat marți un avertisment în care precizează că grupul de hackeri susținut de statul rus APT28 a compromis routere uzuale din locuințe și birouri mici pentru a intercepta traficul de internet și a fura credențiale de autentificare, inclusiv parole și tokenuri de autentificare pentru servicii de e-mail și web.
Cum funcționează atacul
Campania, activă cel puțin din 2024 și continuând până în 2026, vizează routere de birou mic și de acasă — în principal modele TP-Link și MikroTik — exploatând vulnerabilități cunoscute pentru a modifica setările DNS ale acestora. Odată compromise, routerele redirecționează traficul de internet al dispozitivelor conectate prin servere controlate de atacatori, permițând atacuri de tip adversar-în-mijloc care colectează credențiale fără știința utilizatorilor.
Conform avizului tehnic al NCSC, unul dintre principalele modele exploatate a fost TP-Link WR841N, prin vulnerabilitatea CVE-2023-50224, care le permite atacatorilor neautentificați să extragă parolele routerului prin intermediul unor cereri HTTP special construite. Atacatorii modifică apoi configurația DHCP și DNS a routerului, astfel încât fiecare dispozitiv din rețea — laptopuri, telefoane și alte echipamente — moștenește setările DNS malițioase. Interogările pentru domeniile asociate paginilor de autentificare Outlook și Microsoft 365 sunt redirecționate către infrastructura deținută de atacatori, în timp ce restul traficului web se rezolvă normal pentru a evita detectarea.
NCSC apreciază că operațiunea este „probabil oportunistă prin natura sa”, APT28 aruncând o plasă largă înainte de a-și concentra atenția asupra țintelor cu valoare de informații. O operațiune internațională de aplicare a legii, desfășurată în parteneriat cu companii din sectorul privat, a perturbat campania, care a fost denumită FrostArmada de către cercetători.
Un tipar de exploatare a routerelor
APT28, identificat oficial drept Unitatea Militară 26165 a GRU-ului rus, are un istoric bine documentat de atacuri asupra dispozitivelor de tip edge din rețele. În februarie 2024, Departamentul de Justiție al SUA a dezmantelat o rețea botnet alcătuită din routere Ubiquiti compromise, folosită de grup pentru colectarea de credențiale și campanii de spearphishing. Anul trecut, o coaliție formată din 21 de agenții de informații din 11 țări a dezvăluit campania APT28 împotriva companiilor occidentale din domeniul logisticii și tehnologiei. Regatul Unit a atribuit, de asemenea, malware-ul „Authentic Antics” acestui grup în 2025.
Paul Chichester, Director de Operațiuni al NCSC, a declarat că activitatea „demonstrează cum vulnerabilitățile exploatate în dispozitivele de rețea utilizate pe scară largă pot fi valorificate de actori ostili sofisticați” și a îndemnat organizațiile să urmeze ghidul de măsuri de atenuare din aviz, care include protejarea interfețelor de administrare a routerelor, menținerea firmware-ului actualizat și activarea autentificării cu mai mulți factori.
Surse:
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations