Російські державні хакери з 2024 року зламують маршрутизатори TP-Link та MicroTik
Нова кампанія російської хакерської групи APT28 (GRU) націлена на маршрутизатори TP-Link та MikroTik. Хакери змінюють їхні DNS‑налаштування і перенаправляє трафік через сервери під контролем атакуючих, щоб красти паролі та токени автентифікації, зокрема до сервісів Outlook.
Групу APT28 (відомі також як Fancy Bear, Forest Blizzard, Sofacy) британський кіберцентр пов’язує з російським ГРУ. Після зламу SOHO-маршрутизаторів (TP-Link, MikroTik) зловмисники використовують метод перезапису налаштувань DHCP/DNS та перенаправлення запитів на шкідливі DNS-сервери.
Загаломатаки хакерів APT28 націлені на широкий спектр користувачів, але особливий інтерес становлять пристрої в Україні та інших країнах, що мають розвідувальну цінність.
Під атаку потрапляють пристроїTP-Link WR841N (CVE-2023-50224), а також понад 20 інших моделей (Archer C5/C7, WDR3500/3600/4300, WR1043ND, MR3420, MR6400 та інші). Користувачі, чиї пристрої заражені, автоматично отримують шкідливі DNS‑налаштування, що дозволяє зловмисникам збирати паролі та токени OAuth.
Кампанія триває з 2024 року й має опортуністичний характер: атакуються масово доступні маршрутизатори, після чого відбираються жертви, що становлять інтерес для розвідки. Подібні атаки вже застосовувалися APT28 у минулому: злам Бундестагу (2015), атака на Організацію із заборони хімічної зброї (2018).
Використання маршрутизаторів для SOHO сегменту як точки входу робить атаку особливо небезпечною, адже такі пристрої часто мають слабкий захист і рідко оновлюються. Британський національний кіберцентр радить регулярно оновлювати прошивку маршрутизаторів, не відкривати інтерфейси управління для доступу з інтернету, використовувати багатофакторну автентифікацію для поштових та корпоративних акаунтів.
Загалом ця кампанія демонструє, що побутові та офісні маршрутизатори залишаються критичною точкою у кібербезпеці, особливо в умовах війни та активної діяльності російських хакерських груп. Для українських користувачів ризик особливо високий, адже частина атак спрямована саме на пристрої в Україні. Регулярне оновлення прошивки, закриття адміністративних портів та використання MFA є мінімальними заходами захисту.
Раніше ми писали, що хакери з РФ щонайменше 12 разів успішно атакували європейські компанії.
