Спецслужби Німеччини, ФБР та АНБ попереджають про масштабну хакерську кампанію, спрямовану проти роутерів TP-Link та інших виробників. За атаками стоїть російське угруповання Fancy Bear (APT 28), яке використовує вразливості у маршрутизаторах для перехоплення інтернет-трафіку та викрадення конфіденційної інформації.

Хто атакує і навіщо

Угруповання Fancy Bear, пов’язане з російською військовою розвідкою ГРУ, раніше здійснювало кібератаки на компанії, що підтримують Україну, на німецьку службу управління авіарухом та штаб-квартиру партії СДПН у Німеччині. Тепер хакери переключилися на інфраструктуру звичайних користувачів і організацій.

Федеральне відомство із захисту конституції Німеччини (BfV) повідомило, що угруповання «інфільтрувало вразливі роутери TP-Link по всьому світу з метою отримання військової інформації, державних даних або відомостей про критичну інфраструктуру». За даними Spiegel Netzwelt, ще в середині березня низку компаній та приватних осіб було повідомлено про загрозу — зокрема, з переліком уражених пристроїв. У розслідуванні також беруть участь ФБР та АНБ США. Перші задокументовані інциденти датуються щонайменше 2024 роком, а в Німеччині вже ідентифіковано 30 пристроїв, які могли бути використані для таких атак.

Як працює атака

Застосована техніка отримала назву DNS hijacking — «викрадення DNS». Зламавши роутер, хакери змінюють налаштування DNS-серверів, унаслідок чого користувач замість справжнього сайту потрапляє на підроблений. Мета — змусити людину ввести логін, пароль або банківські дані. В окремих випадках шкідливе ПЗ потрапляє на пристрій через завантаження файлів із таких фальшивих ресурсів.

Як захиститися

Уразливість у роутерах TP-Link, яку використовують зловмисники, вже виправлена виробником. Власникам таких пристроїв рекомендується якнайшвидше перевірити наявність актуального оновлення прошивки та встановити його через панель адміністрування роутера.

Також варто звертати увагу на типові ознаки DNS hijacking:

• часті перенаправлення на сторонні сайти;
• попередження від браузера або антивірусного програмного забезпечення;
• помітне збільшення кількості спливаючих вікон і підозрілої реклами;
• незвично тривале завантаження сторінок попри стабільне з’єднання;
• змінені адреси DNS-серверів у налаштуваннях роутера.

Ця стаття Fancy Bear: російські хакери атакують роутери TP-Link для викрадення паролів і держданих раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин