Ruští hackeři zneužívali starší routery TP-Link. Odchytávali přes ně hesla i obsah komunikace
- Ruská skupina APT28 podle úřadů zneužívala slabinu ve starších zařízeních TP-Link a přes napadené routery přesměrovávala provoz.
- Cílem byl sběr hesel, tokenů i další citlivé komunikace, mimo jiné u vládních a vojenských cílů.
- Do zásahu proti operaci Masquerade se zapojilo i české Vojenské zpravodajství, píše Živě.cz.
Ruská hackerská skupina APT28, spojovaná s vojenskou rozvědkou GRU, nejméně od roku 2024 zneužívala slabinu ve starších síťových zařízeních značky TP-Link. Přes napadené routery a modemy pak přesměrovávala provoz a získávala přístup k citlivým údajům včetně hesel, autentizačních tokenů nebo obsahu komunikace.
Skupina vystupující také pod názvy Fancy Bear, Forest Blizzard nebo Sofacy Group podle zveřejněných informací cílila na zranitelná zařízení v několika zemích. Operaci, která nesla název Masquerade, odhalily a narušily úřady koordinované bostonskou pobočkou FBI. Na zásahu spolupracovaly také instituce z dalších zasažených států, mimo jiné z Česka a Slovenska.
Do akce se zapojilo i české Vojenské zpravodajství. To uvedlo, že provedlo aktivní zásah spočívající v úpravě nastavení části zneužívané infrastruktury a v zabezpečení potenciálně ohrožených zařízení na českém území. Podle VZ byla kompromitovaná zařízení využívána ke sběru strategicky významných informací namířených proti vojenským a vládním cílům v Česku i v zahraničí, včetně spojenců v NATO a Evropské unii.
Útočníci zneužili zranitelnost označenou jako CVE-2023-50224. Ta se týkala několika desítek starších generací Wi-Fi routerů, 4G modemů a access pointů od TP-Linku. Britský úřad pro kybernetickou bezpečnost zveřejnil seznam dotčených modelů, zároveň ale upozornil, že nemusí být konečný.
Mezi zasaženými zařízeními jsou například modely MR6400, Archer C5, Archer C7, WDR3600, WDR4300, WDR3500, WR740N, WR741ND, WR749N, MR3420, WA801ND, WA901ND, WR1043ND, WR1045ND, WR840N, WR841HP, WR841N, WR842N, WR845N, WR941ND a WR945N.
Přes zranitelná zařízení bylo možné získat administrátorský přístup a následně měnit nastavení DHCP a DNS. Tím hackeři docílili toho, že síťový provoz obětí přesměrovávali přes vlastní servery. Ze zveřejněných informací vyplývá, že APT28 se výrazně zaměřovala hlavně na domény související s Outlookem a službami Microsoftu či Office 365. Routery pak vracely podvržené DNS odpovědi a umožňovaly takzvané adversary-in-the-middle útoky i proti šifrované komunikaci.
Právě touto cestou mohli útočníci získávat přihlašovací údaje, autentizační tokeny i další citlivý obsah, který by jinak chránilo šifrování SSL/TLS. FBI a další zapojené organizace následně využily stejný mechanismus k tomu, aby napadeným zařízením resetovaly DNS nastavení. Definitivní ochrana ale zůstává na samotných uživatelích.
