Κρατική ρωσική ομάδα κυβερνοκατασκοπείας κατέλαβε δεκάδες χιλιάδες οικιακά και μικρών επιχειρήσεων routers παγκοσμίως, υποκλέπτοντας κωδικούς και tokens πρόσβασης. Η εκστρατεία, που αποδίδεται στην ομάδα Fancy Bear (APT28), αξιοποίησε παλιές ευπάθειες συσκευών MikroTik και TP-Link.
Μια εκτεταμένη επιχείρηση κυβερνοκατασκοπείας με σφραγίδα ρωσικών κρατικών υπηρεσιών ασφαλείας αποκάλυψαν ευρωπαϊκές και αμερικανικές αρχές, φέρνοντας στο προσκήνιο την ευαλωτότητα της καθημερινής ψηφιακής υποδομής: των οικιακών routers. Η διαβόητη ομάδα Fancy Bear, γνωστή και ως APT28 και ευρέως θεωρούμενη βραχίονας της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU, φέρεται να έχει καταλάβει χιλιάδες routers σε σπίτια και μικρές επιχειρήσεις ανά τον κόσμο, προκειμένου να υποκλέπτει κωδικούς πρόσβασης και tokens ταυτοποίησης.
Πώς λειτούργησε η επίθεση και ποιοι στοχοποιήθηκαν
Σύμφωνα με την Εθνική Μονάδα Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και τη μονάδα Black Lotus Labs της Lumen, οι χάκερ εκμεταλλεύτηκαν ήδη γνωστές, αλλά μη διορθωμένες, ευπάθειες σε routers MikroTik και TP-Link. Πολλές από τις συσκευές έτρεχαν παρωχημένο λογισμικό, γεγονός που επέτρεψε απομακρυσμένες επιθέσεις χωρίς καμία ένδειξη για τον ανυποψίαστο χρήστη.
Αφού αποκτούσαν έλεγχο της συσκευής, οι επιτιθέμενοι τροποποιούσαν τις ρυθμίσεις DNS, ώστε η διαδικτυακή κίνηση του θύματος να διοχετεύεται σιωπηρά σε υποδομή υπό τον έλεγχό τους. Αυτό τους έδινε τη δυνατότητα να ανακατευθύνουν τους χρήστες σε ψεύτικες ιστοσελίδες που μιμούνταν νόμιμες υπηρεσίες, αποσπώντας κωδικούς πρόσβασης και tokens σύνδεσης. Κρίσιμο στοιχείο είναι ότι με αυτά τα tokens οι επιτιθέμενοι μπορούσαν να παρακάμπτουν την πολυπαραγοντική ταυτοποίηση, αποκτώντας πρόσβαση σε λογαριασμούς χωρίς να απαιτούνται οι κωδικοί μιας χρήσης.
Η Black Lotus Labs εκτιμά ότι έχουν επηρεαστεί τουλάχιστον 18.000 θύματα σε περίπου 120 χώρες, μεταξύ των οποίων υπουργεία, υπηρεσίες επιβολής του νόμου και πάροχοι email σε Βόρεια Αφρική, Κεντρική Αμερική και Νοτιοανατολική Ασία. Η NCSC χαρακτηρίζει την εκστρατεία «πιθανότατα ευκαιριακή», με τους δράστες να ρίχνουν «ευρύ δίχτυ» και στη συνέχεια να εστιάζουν σε στόχους υψηλής αξίας πληροφοριών.
Διεθνής αντίδραση, γεωπολιτικές προεκτάσεις και κίνδυνοι για τους πολίτες
Η Microsoft, σε δική της τεχνική ανάλυση, εντόπισε πάνω από 200 οργανισμούς και 5.000 οικιακές συσκευές που είχαν παραβιαστεί, συμπεριλαμβανομένων τουλάχιστον τριών κυβερνητικών φορέων στην Αφρική. Παράλληλα, το FBI προχωρά –σε συνεργασία με τη Lumen και άλλους εταίρους– σε αποκαθήλωση βασικών domains της εκστρατείας και στη διακοπή του botnet που είχε στηθεί πάνω στα παραβιασμένα routers.
Η υπόθεση επιβεβαιώνει τη στρατηγική στροφή κρατικών ομάδων χάκερ προς την εκμετάλλευση φθηνών, ευρέως διαδεδομένων συσκευών δικτύου, οι οποίες σπάνια ενημερώνονται ή παρακολουθούνται συστηματικά. Για τις επιχειρήσεις, αλλά και για κυβερνητικούς οργανισμούς, το γεγονός ότι η αλυσίδα ασφαλείας μπορεί να «σπάσει» στο router ενός υπαλλήλου στο σπίτι, αναδεικνύει την ανάγκη για πολιτικές zero trust, υποχρεωτικές αναβαθμίσεις firmware και αυστηρή διαχείριση απομακρυσμένης πρόσβασης.
Για τους απλούς χρήστες, η εκστρατεία λειτουργεί ως προειδοποίηση: οι προεπιλεγμένοι κωδικοί, τα μη ενημερωμένα firmware και η έλλειψη βασικής κυβερνοϋγιεινής μετατρέπουν μια απλή συσκευή δικτύου σε εργαλείο διεθνούς κατασκοπείας. Σε γεωπολιτικό επίπεδο, η Fancy Bear έχει ήδη συνδεθεί με την παραβίαση της Εθνικής Επιτροπής Δημοκρατικών στις ΗΠΑ το 2016 και την επίθεση στον δορυφορικό πάροχο Viasat το 2022, γεγονός που ενισχύει τις ανησυχίες ότι τέτοιες επιχειρήσεις δεν στοχεύουν μόνο σε κλοπή δεδομένων, αλλά και σε δυνατότητες αποσταθεροποίησης κρίσιμων υποδομών.
Καθώς η ψηφιακή σύγκρουση μεταξύ κρατικών δρώντων εντείνεται, η συγκεκριμένη υπόθεση δείχνει ότι το «μέτωπο» της κυβερνοασφάλειας δεν βρίσκεται μόνο σε data centers και στρατιωτικά δίκτυα, αλλά και στο σαλόνι κάθε συνδεδεμένου νοικοκυριού.
Σχόλιο 
: Η χρήση οικιακών routers ως πλατφόρμας κρατικής κατασκοπείας δείχνει ότι η κυβερνοασφάλεια δεν είναι πια τεχνικό ζήτημα, αλλά σκληρό γεωπολιτικό εργαλείο. Όσο κυβερνήσεις και επιχειρήσεις δεν επενδύουν σε συστηματική αναβάθμιση υποδομών και εκπαίδευση χρηστών, η «αδύναμη κρίκος» θα παραμένει το σπίτι του πολίτη – με κόστος που τελικά μεταφράζεται σε εθνικό κίνδυνο.
#Ρωσία #κυβερνοασφάλεια #χάκερ #FancyBear #APT28
