Западные спецслужбы обвинили Россию в глобальной кибератаке

Группа российских хакеров Fancy Bear (APT 28, Forest Blizzard), которую иностранные спецслужбы связывают с российской разведкой (ГРУ), взломала тысячи домашних и корпоративных маршрутизаторов по всему миру, заявили американская ФБР, спецслужбы Канады и ряда европейских стран.

Как утверждается в пресс-релизе ФБР, как минимум с 2024 года хакеры использовали уязвимость CVE-2023-50224 в маршрутизаторах TP-Link небольших компаний, чтобы менять их настройки и получать доступ к ноутбукам и телефонам, подключенным к этим маршрутизаторам. После этого киберпреступники могли видеть, на какие сайты пытается зайти пользователь. Для части из них хакеры подменяли DNS-адреса, перенаправляя пользователей с привычных им веб-ресурсов на вредоносные. В частности, они подменяли DNS-адрес Microsoft Outlook Web Access, которая дает доступ к электронной почте Microsoft Outlook через веб-интерфейс. Фейковые сайты нужны были, чтобы получать доступ к логинам, паролям и другой личной информации жертв.

Хакеры сначала взломали «широкий круг жертв в США и по всему миру», а затем отфильтровали затронутых пользователей и сфокусировались слежке за теми из них, у кого был доступ к информации о военной, правительственной и критической инфраструктуре.

Спецслужбы выпустили рекомендации по защите от подобных кибератак.