Mii de routere din România și alte țări, folosite de persoane fizice și firme mici, au fost compromise în cadrul unei vaste operațiuni de spionaj cibernetic. Atacurile, atribuite unui grup afiliat armatei ruse, au vizat colectarea de date sensibile, inclusiv parole și alte informații confidențiale.
O amplă rețea de dispozitive vulnerabile
Cercetările arată că între 18.000 și 40.000 de routere din aproximativ 120 de țări au fost afectate. Printre producătorii vizați se numără MikroTik și TP-Link, ale căror dispozitive au fost integrate într-o infrastructură controlată de gruparea APT28, asociată cu serviciul de informații militare ruse GRU.
APT28 este cunoscută pentru atacuri cibernetice pe termen lung, vizând instituții guvernamentale din întreaga lume. Grupul este activ de peste două decenii, demonstrând o capacitate constantă de a exploata vulnerabilități și de a-și adapta tehnicile.
Modificări DNS și Redirecționarea Traficului
Atacatorii au profitat de vulnerabilitățile existente în modelele mai vechi de routere, care nu au primit actualizări de securitate. După compromitere, aceștia au modificat setările DNS, propagând aceste schimbări către dispozitivele conectate.
În momentul accesării anumitor servicii online, inclusiv platforme precum Microsoft 365, traficul utilizatorilor era redirecționat prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, chiar și după finalizarea autentificării multifactor.
O campanie în continuă expansiune
Campania a început la scară redusă în mai 2025, dar s-a intensificat semnificativ începând cu luna august, când autoritățile britanice au emis o alertă privind activități similare. Până în decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni, indicând o extindere rapidă a operațiunii.
Specialiștii recomandă utilizatorilor să verifice setările DNS ale routerelor pentru a detecta orice modificare neautorizată și să consulte jurnalele de activitate pentru orice schimbări suspecte. De asemenea, se recomandă înlocuirea echipamentelor care nu mai primesc actualizări de securitate și evitarea accesării site-urilor care generează avertismente legate de certificate nesigure.
Aceste atacuri subliniază importanța actualizării constante a dispozitivelor conectate la internet și a unei atenții sporite la securitatea rețelelor personale și de birou.
