Η προειδοποίηση δόθηκε την Τρίτη από ερευνητές ασφαλείας και κυβερνητικές αρχές, επισημαίνοντας την κρισιμότητα της κατάστασης.
Η Ταυτότητα των Χακέων: Fancy Bear
Αυτή η δραστηριότητα αποδίδεται στη ρωσική ομάδα hacking Fancy Bear, γνωστή και ως APT 28. Η ομάδα αυτή έχει αποκτήσει κακή φήμη μέσω υψηλού προφίλ επιθέσεων, όπως η παραβίαση της Εθνικής Επιτροπής του Δημοκρατικού Κόμματος των ΗΠΑ το 2016, καθώς και η επιτυχής επίθεση που έπληξε τον δορυφορικό πάροχο Viasat το 2022. Σύμφωνα με κυβερνητικούς αναλυτές, η Fancy Bear θεωρείται ότι αποτελεί τμήμα της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών (GRU).
Στοχευμένες Συσκευές
Στο επίκεντρο της τρέχουσας καμπάνιας βρέθηκαν μη ενημερωμένοι routers των εταιρειών MicroTik και TP-Link. Οι ερευνητές από τον κυβερνοασφάλειας NCSC του Ηνωμένου Βασιλείου και το Black Lotus Labs ανέφεραν ότι οι χάκερ εκμεταλλεύτηκαν ευπάθειες που είναι ήδη γνωστές, επιτρέποντας τους να αποκτήσουν πρόσβαση στις εν λόγω συσκευές.
Η Στρατηγική Επίθεσης
Οι ερευνητές εκτίμησαν ότι οι χάκερ, μέσω της παραβίασης των routers, μπόρεσαν να παρακολουθούν μεγάλο αριθμό ανθρώπων επί σειρά ετών. Πολλές από αυτές τις συσκευές χρησιμοποιούσαν παρωχημένο λογισμικό, το οποίο τις καθιστούσε ευάλωτες σε απομακρυσμένες επιθέσεις χωρίς να το υποψιάζονται οι χρήστες τους.
Το NCSC ανέφερε ότι οι επιθέσεις είναι πιθανό να είναι ευκαιριακές, καθώς οι δράστες “ρίχνουν ένα ευρύ δίχτυ” ώστε να προσεγγίσουν πολλούς πιθανούς στόχους και στη συνέχεια εστιάζουν σε αυτούς που παρουσιάζουν ενδιαφέρον καθώς η επίθεση εξελίσσεται.
Πώς Λειτουργεί η Χάκινγκ Στρατηγική
Οι χάκερ τροποποιούσαν τις ρυθμίσεις των routers, έτσι ώστε τα αιτήματα των θυμάτων στο διαδίκτυο να περνούν κρυφά μέσω υποδομών που ελέγχουν συστηματικά. Αυτή η διαδικασία τους επέτρεπε να ανακατευθύνουν τους χρήστες σε πλαστές ιστοσελίδες, αποσπώντας τους κωδικούς και tokens.
Τα κλεμμένα tokens επέτρεπαν στους χάκερ να εισέρχονται σε διαδικτυακούς λογαριασμούς των θυμάτων χωρίς να απαιτούνται οι κωδικοί επαλήθευσης δύο παραγόντων, γεγονός που καθιστούσε την παραβίαση εξαιρετικά επικίνδυνη.
Κλιμάκωση της Κατάστασης
Το Black Lotus Labs ανέφερε ότι η Fancy Bear παραβίασε τουλάχιστον 18.000 θύματα σε περίπου 120 χώρες, περιλαμβάνονται κυβερνητικές υπηρεσίες, υπηρεσίες επιβολής του νόμου και πάροχοι email σε περιοχές της Βόρειας Αφρικής, της Κεντρικής Αμερικής και της νοτιοανατολικής Ασίας.
Η Microsoft, στην ανακοίνωσή της, τονισε ότι οι ερευνητές του οργανισμού ανακάλυψαν πάνω από 200 οργανισμούς και 5.000 καταναλωτικές συσκευές που επηρεάστηκαν, με τουλάχιστον τρεις κυβερνητικούς οργανισμούς να περιλαμβάνονται στην Αφρική.
Αντίκτυποι και Συνεχείς Ενέργειες
Το FBI προγραμματίζει να ανακοινώσει την κατάσχεση αρκετών domains που χρησιμοποιήθηκαν στην καμπάνια. Η Lumen ανέφερε ότι συμμετείχε σε συνασπισμό, σε συνεργασία με το FBI, που ανέστειλε τη λειτουργία του botnet και απέτρεψε τις επιθέσεις.
Φυσικά, οι χρήστες καλούνται να προχωρήσουν σε ενημερώσεις λογισμικού και ρυθμίσεων, προκειμένου να ενισχύσουν τη δική τους ασφάλεια και να προστατευτούν από παρόμοιες επιθέσεις στο μέλλον.
Για περισσότερες πληροφορίες σχετικά με την κυβερνοασφάλεια και πώς να προστατεύσετε τις συσκευές σας, μπορείτε να επισκεφθείτε το CISA.