Μια ομάδα Ρώσων hackers, έχει παραβιάσει χιλιάδες οικιακά routers, αλλά και εξοπλισμό μικρομεσαίων επιχειρήσεων σε όλο τον κόσμο. Στόχος τους είναι να ανακατευθύνουν τη διαδικτυακή κίνηση των θυμάτων, προς σελίδες που θα τους επιτρέψουν την κλοπή κωδικών πρόσβασης σε υπηρεσίες και τράπεζες, σύμφωνα με προειδοποίηση των αρχών.
Πίσω από τις επιθέσεις βρίσκεται μια από τις παλιότερες ομάδες hacking, η Fancy Bear ή APT 28. Η ομάδα είναι γνωστή για επιθέσεις υψηλού προφίλ και για επιθέσεις κατασκοπίας, πιθανότατα για λόγο της ρωσικής κυβέρνησης. Μέσα στις επιθέσεις της ήταν η παραβίαση της Εθνικής Επιτροπής Δημοκρατικών το 2016 και της καταστροφικής επίθεσης που έπληξε τον πάροχο δορυφορικού internet, Viasat, το 2022. Οι φήμες θέλουν την Fancy Bear να αποτελεί μέρος της ρωσικής υπηρεσίας πληροφοριών GRU.
Η ομάδα hackers εστιάζει σε μη ενημερωμένα routers της TP-Link και της MicroTik, χρησιμοποιώντας γνωστά exploits, που δίνουν πρόσβαση στη διαχείριση του router, σύμφωνα με την μονάδα κυβερνοασγαλείας NCSC της Μεγάλης Βρετανίας και την Black Lotus Labs.
Αποκτώντας πρόσβαση στο router, οι hackers κατασκόπευαν έναν πολύ μεγάλο αριθμό ανθρώπων, αφού αυτές οι επιθέσεις γίνονται εδώ και μια τριετία. Όμως, η πρόσβαση στο router επιτρέπει την αναδρομολόγηση της κίνησης σε επικίνδυνες σελίδες. Έτσι, αν για παράδειγμα ο χρήστης γράψει Gmail.com για παράδειγμα, μπορεί να τον στείλει σε μια σελίδα που εμφανισιακά είναι ίδια με αυτή της Google, όπου θα τους ζητάει τους κωδικούς του. Με αυτό τον τρόπο οι hackers θα πάρουν πρόσβαση στο google account του χρήστη. Το ίδιο μπορεί κάνουν και σε τραπεζικές σελίδες ή σε κρατικές σελίδες.
Ο κόσμος γενικά έχει πολλές μια φοβία με τις αναβαθμίσεις, ενώ κάποια από αυτά τα routers δεν αναβαθμίζονται αυτόματα και χρειάζονται την συμβολή του χρήστη για να το κάνουν. Έτσι, μένουν με τα router τους ευάλωτα σε επιθέσεις, που μάλιστα δεν είναι εύκολο να καταλάβει ο χρήστης πως τις δέχεται.
Σύμφωνα με το NCSC οι επιθέσεις αυτές είναι ευκαιριακές, δηλαδή οι hackers βάζουν ένα εύρος διευθύνσεων IP και τις σαρώνουν με στόχο να βρουν τα πιθανά τους θύματα. Στη συνέχεια παίρνουν τη λίστα με τις ευπαθείς συσκευές και αναγνωρίζουν του πιθανούς στόχους που ενδιαφέρουν τις υπηρεσίες πληροφοριών, την στιγμή που γίνονται οι επιθέσεις.
Σύμφωνα με τους ερευνητές, η ομάδα των hackers παραβίασαν δρομολογητές για να τους τροποποιήσουν και ώστε να διατηρήσουν πρόσβαση σε αυτούς, ακόμα και αν αναβαθμιστούν σε κάποιο σημείο. Στη συνέχεια τροποποιούν τις ρυθμίσεις του router, ώστε τα αιτήματα προς το διαδίκτυο, να διαβιβάζονται κρυφά σε υποδομές που ελέγχουν οι hackers. Αυτό σημαίνει πως στέλνουν θύματα σε πλαστογραφημένες σελίδες, που βρίσκονται υπό τον έλεγχό τους, ώστε να πάρουν πρόσβαση σε υπηρεσίες ενδιαφέροντος του χρήστη. Με τα στοιχεία σύνδεσης σε αυτές τις υπηρεσίες, αποκτούν πρόσβαση στα ότι τους ενδιαφέρει. Μάλιστα, μπορούν να συνδεθούν σε αυτές μέσω του δικού μας router, χωρίς να πυροδοτήσουν την ανάγκη επαλήθευσης δύο παραγόντων. Αν νομίζεται πως αυτό είναι κάποια περίπλοκη διαδικασία, θα πρέπει να σας πούμε πως δεν είναι καθόλου. Μια αλλαγή στους DNS servers του router είναι αρκετή. Για αυτό ποτέ δεν περνάμε και εμείς dns servers για διάφορους σκοπούς, όπως το adblocking.
Email επιβεβαίωσης Fuel Pass: Κάνε αυτή τη ρύθμιση – Εγκρίνονται ηλεκτρικά οχήματα
Η Black Lotus Labs δήλωσε πως η Fancy Bear έχει ήδη παραβιάζει τουλάχιστον 18.000 routers, σε περίπου 120 χώρες σε όλο τον κόσμο, ενώ μερικά από αυτά είναι μέρος της υποδομής δικτύου κυβερνητικών υπηρεσιών και αρχών επιβολής του νόμου.
Παράλληλα, και η Microsoft έδωσε πληροφορίες για τις επιθέσεις την περασμένη Τρίτη, αναφέροντας πως έχει εντοπίσει πάνω από 200 οργανισμούς και πάνω από 5.000 συσκευές που έχουν επηρεαστεί από αυτές τις επιθέσεις, συμπεριλαμβανομένων και τουλάχιστον τριών κυβερνητικών οργανισμών στη Αφρική.
Το FBI θα ανακοινώσει την κατάργηση αρκετών πλαστών domains που έχουν συνδεθεί με αυτές τις επιθέσεις. Ο Lumen δήλωσε ότι ήταν μέρος ενός συνασπισμού, συμπεριλαμβανομένου του FBI, που διέκοψε το botnet και το έθεσε εκτός λειτουργίας.
Για αυτό πρέπει πάντα να κρατάμε τα routers μας και γενικότερα όλες μας τις συσκευές ενημερωμένες, με όλες τις αναβαθμίσεις ασφαλείας. Σε μια εποχή που όλη μας η ζωή είναι στο διαδίκτυο, πρέπει να είμαστε ιδιαίτερα προσεκτικοί σε θέματα ασφαλείας.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
