Az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) egy fontos felhívást tett közzé a napokban, amelyben rávilágítanak, az orosz állam által támogatott APT28 hackercsoport aktívan próbálja kiaknázni a sebezhető kisirodai és otthoni routerek fedélzetén található sebezhetőségeket annak érdekében, hogy jelszavakat és bejelentkezési adatokat szerezzenek, elsősorban az Outlook alkalmazásban használt levelezőszerverekhez való hozzáféréshez, de egyéb bejelentkezési adatokra is szert tehetnek az akciók keretén belül.

A folyamat állítólag 2024 óta tart, alapját pedig az adja, hogy a sebezhetőségeken keresztül hozzáférnek a routerek adminisztrációs felületéhez, ahol aztán a DHCP és a DNS beállításokat módosítva átirányítják a helyi hálózat forgalmát az általuk irányított DNS szerverekre annak érdekében, hogy felhasználó-azonosításhoz használatos tokeneket nyerjenek ki a különböző webes és e-mail szolgáltatások eléréséhez. A britek szerint az APT28 majdnem teljesen biztosan az orosz titkosszolgálathoz kapcsolódik, azaz az Orosz Főhírszerző Főigazgatóság (GRU) 85. Fő Különleges Szolgálat Központja alkalmazza őket a 26616-ös Katonai Hírszerző Egység formájában.

A hackerek által átállított DHCP beállítások keretén belül a helyi hálózat forgalma automatikusan a hackerek által irányított kártékony névfeloldó szervereken halad keresztül, ahol aztán a különböző eszközök felől érkező forgalomból megpróbálják kinyerni a számukra értékes adatokat, egyfajta közbeékelődéses támadás keretén belül. Az adatforgalmat különböző domainek szerint szűrik, amennyiben ezek felé történik adatforgalmazás, megpróbálják belőle kinyerni a jelszavakat, a felhasználói azonosítókat, vagy éppen a különböző tokeneket annak érdekében, hogy hozzáférhessenek az adott webes szolgáltatás tartalmához. A megfigyelt domainek között egyebek mellett az autodiscover-s.outlook.com, az imap-mail.outlook.com, az outlook.live.com, az outlook.office.com, illetve az outlook.office365.com is jelen van, vagyis elsősorban az Outlook szolgáltatáshoz kapcsolódó felhasználói azonosítókra, jelszavakra, illetve tokenekre utaznak.

A támadás keretén belül a sebezhetőségekre támaszkodnak, például a TP-Link WR841N típusú routernél azonosított CVE-2023-50224-es sebezhetőségre, ahol felhasználó-azonosítás nélkül lehet hozzáférni a routerhez kapcsolódó felhasználói adatokhoz, ehhez csak egy megfelelő http GET kérést kell írni. Ha a felhasználói adatokat sikerült kinyerni, egy második kapcsolatfelvétel keretén belül a DHCP szolgáltatáshoz kapcsolódó elsődleges DNS szerver elérését átírják a saját DNS szerverük címére, ezzel megteremtik a lehetőséget az adatforgalom elemzésére és a fontos adatok kinyerésére. A britek szerint az említett router mellett az alábbi TP-Link routerek is veszélyben vannak:

Az érintett TP-Link routerek listája:

A szakemberek szerint ezzel egy időben a MikroTik egyes routereit is támadják, de ott főként Ukrajnára korlátozódik a bevetési terület és kevesebb modellt érint a sebezhetőség. A britek szerint az APT28 egy szélesre kitárt hálóval fogja be az adatokat, amelyekből aztán később kimazsolázzák a számukra szükséges tartalmakat az alapján, mely IP-cím tartományok lehetnek érdekesek számukra.

A támadási felület jelentősen csökkenthető, ha az adott router szoftverét frissen tartjuk, nem tesszük elérhetővé a webes adminisztrációs felületet az internet felé, illetve a gyáritól eltérő jelszót és felhasználónevet használunk, a különböző webes szolgáltatásoknál pedig aktiváljuk a kétfaktoros felhasználó-azonosítást. Amennyiben nem lehet szoftvert frissíteni az adott routeren, mert a gyártó nem készített elérhető javítást az ismert hibára, akkor egy modernebb, aktív terméktámogatással ellátott routerre érdemes átállni, ami a független tesztek szerint is megfelelő.

Az APT28 egyébként nem egy ismeretlen csapat, régóta tevékenykednek az online térben, és már többféle néven is felbukkantak az elmúlt időszakban, például Fancy Bear, Forest Blizzard, illetve Sofacy névvel is hivatkoztak rájuk korábban.