L’esercito russo sta ancora una volta hackerando router domestici e di piccoli uffici in una massiccia operazione che invia utenti inconsapevoli a siti che raccolgono password e token di credenziali da utilizzare in campagne di spionaggio, hanno detto martedì i ricercatori.
Si stima che tra i 18.000 e i 40.000 router consumer, per lo più realizzati da MikroTik e TP-Link, situati in 120 paesi, siano stati compromessi da infrastrutture appartenenti ad APT28, un gruppo di minacce avanzate che fa parte dell’agenzia di intelligence militare russa nota come GRU, hanno detto i ricercatori di Black Lumens Lumens. disse. Il gruppo di minaccia opera da almeno due decenni ed è dietro dozzine di attacchi hacker di alto profilo che prendono di mira i governi di tutto il mondo. APT28 è stato monitorato anche con nomi tra cui Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard e STRONTIUM.
Tecniche tecnicamente sofisticate, collaudate e vere
Un piccolo numero di router è stato utilizzato come proxy per connettersi a un numero molto maggiore di router da parte del Dipartimento di Stato, delle forze dell’ordine e degli enti governativi che volevano spiare APT28. Il gruppo utilizza quindi i controlli del router per modificare le ricerche DNS per siti Web selezionati, incluso Microsoft disseDomini per i servizi Company 365.
I ricercatori di Black Lotus hanno scritto: “Noto per la fusione di strumenti all’avanguardia come il Large Language Model (LLM) ‘LAMEHUG’ con strategie comprovate e di lunga data, Forest Blizzard evolve costantemente le sue tattiche per stare al passo con i difensori”. Le loro campagne precedenti e attuali evidenziano sia la loro sofisticazione tecnologica sia la loro volontà di rivisitare i metodi di attacco classici nonostante l’esposizione pubblica. sottolinea il rischio costante per le organizzazioni di tutto il mondo
Per dirottare i router, gli aggressori sfruttano modelli più vecchi che non sono stati aggiornati contro le vulnerabilità di sicurezza note. Quindi modificano e utilizzano le impostazioni DNS per il dominio selezionato Protocollo di configurazione host dinamico per propagarli alle postazioni di lavoro connesse al router. Quando i dispositivi connessi visitavano i domini selezionati, le loro connessioni venivano inoltrate tramite server dannosi prima di raggiungere le destinazioni previste.
