Brytyjska agencja ds. cyberbezpieczeństwa stwierdziła, że rosyjscy hakerzy wykorzystują powszechnie sprzedawane routery internetowe do zbierania informacji do celów szpiegowskich.
Włamanie może umożliwić atakującym uzyskanie danych uwierzytelniających użytkowników, przekierowanie ich do fałszywych witryn i potencjalnie uzyskanie dostępu do innych urządzeń w ich sieci domowej, takich jak telefony i komputery PC, powiedział Alan Woodward, profesor na Uniwersytecie Surrey.
Narodowe Centrum Cyberbezpieczeństwa stwierdziło we wtorek, że „uważa się, że operacje te mają charakter oportunistyczny, przy czym napastnik celuje w szeroką gamę ofiar, a następnie prawdopodobnie filtruje użytkowników mających potencjalną wartość wywiadowczą na każdym etapie łańcucha wykorzystania”.
Opiera się na powszechnym schemacie, w którym cyberprzestępcy atakują urządzenia brzegowe – sprzęt taki jak routery internetowe lub podłączone do Internetu kamery bezpieczeństwa – które pełnią rolę pomostu między użytkownikami a chmurą.
Woodward powiedział: „To nie pierwszy raz, kiedy pojawiają się ostrzeżenia dotyczące routerów. Przede wszystkim należy powiedzieć, że często zapomina się o tak zwanych urządzeniach brzegowych, które mogą stać się słabym punktem.”
Powiedział, że jeśli atakującym pomyślnie zaatakują router, mogą „zaprowadzić cię do fałszywych witryn. Może ci się wydawać, że udajesz się do swojego banku, ale oni przenoszą cię gdzie indziej”.
„Mogą osiedlić się w Twojej sieci, poruszać się po niej i sprawdzać, czy urządzenia w Twojej sieci – Twój komputer, telefon – mają jakieś luki w zabezpieczeniach”.
NCSC napisało, że grupą stojącą za atakami była prawdopodobnie APT28 lub Fancy Bear, która „prawie na pewno” była powiązana z rosyjskimi służbami wywiadowczymi.
APT28 stał także za cyberatakami na niemiecki parlament w 2015 r., podczas których skradziono duże ilości danych, w tym poufne e-maile i harmonogramy niemieckich parlamentarzystów.
„Zwykle nie wiemy o nich zbyt wiele. Podejrzewa się, że działają w imieniu państwa rosyjskiego, ale nikt nie wie tego na pewno, ponieważ często ataki na państwa narodowe przeprowadzane są za pośrednictwem grup przestępczych” – powiedział Woodward.
Stany Zjednoczone zakazały niedawno sprzedaży wszystkich konsumenckich routerów internetowych wyprodukowanych poza granicami kraju, a Federalna Komisja Łączności stwierdziła, że „stanowią one niedopuszczalne ryzyko dla bezpieczeństwa narodowego Stanów Zjednoczonych”.
„Szkodliwe podmioty wykorzystywały luki w zabezpieczeniach routerów produkcji zagranicznej, aby atakować amerykańskie gospodarstwa domowe, zakłócać sieci, umożliwiać szpiegostwo i ułatwiać kradzież własności intelektualnej” – stwierdzono, stwierdzając, że routery wyprodukowane za granicą były zaangażowane w kilka niedawnych cyberataków wymierzonych w amerykańską infrastrukturę.
Ponieważ prawie wszystkie routery internetowe są produkowane w Chinach lub na Tajwanie, może to mieć poważny wpływ na wielu amerykańskich producentów sprzętu. Wyjątkiem jest Starlink Elona Muska, który dużą część swoich urządzeń produkuje w Teksasie.
Eksperci ds. prywatności stwierdzili, że ten całkowity zakaz nie usunie w pełni luk w zabezpieczeniach istniejących routerów internetowych, a poważniejszym problemem może być to, że obecnie używane routery internetowe dobiegają końca i nie otrzymują już aktualizacji zabezpieczeń.
Woodward stwierdził, że ostrzeżenie NCSC stanowi wskazówkę, że małe firmy i osoby prywatne powinny na bieżąco aktualizować swoje routery. „Jeśli prowadzisz małą firmę, powinieneś zwrócić uwagę na nietypowe działania w swojej sieci. Wiele routerów jest po prostu zapomnianych.”
Jeden z największych cyberataków w historii, podczas którego w 2016 roku hakerzy ukradli 80 milionów dolarów z banku centralnego Bangladeszu, miał miejsce, ponieważ bank korzystał z tanich, używanych routerów internetowych, do których można było uzyskać dostęp z szerszego Internetu.
Hakerom udało się uzyskać dostęp do routera, a następnie do sieci rdzeniowej banku centralnego, skąd przekazali pieniądze na konta na Filipinach. Uważa się, że za atakiem stała powiązana z państwem północnokoreańska grupa hakerska.
Woodward powiedział: „To klasyczny sposób, w jaki ludzie sondują, i prawie na pewno zdarzy się to ponownie”.
