Cyberprzestępcy z rosyjskiego wywiadu (GRU) wykorzystują podatne routery na całym świecie do kradzieży poufnych informacji – ostrzega FBI. Interesuje ich głównie infrastruktura wojskowa, rządowa i krytyczna. Służby informują, iż niedawno zakłóciły sieć składającą się z zainfekowanych routerów dla SOHO. Wykorzystano je do przeprowadzania złośliwych operacji przechwytywania nazw domen (DNS). Jak wyjaśniają eksperci, GRU dostarcza fałszywe odpowiedzi DNS dla określonych domen i usług – w tym Microsoft Outlook Web Access. Umożliwia to ataki typu adversary-in-the-middle na szyfrowany ruch. Aktywność rosyjskich napastników z 85 Głównego Centrum Usług Specjalnych GRU (znanych jako grupa APT28, Fancy Bear, Forest Blizzard) służby stwierdziły jednak co najmniej od 2024 r.

Ostrzeżenie wydało FBI, NSA (amerykańska Agencja Bezpieczeństwa Narodowego) oraz partnerzy z 15 krajów, w tym z Polski. Celem jest zachęcenie zespołów chroniących sieci i właścicieli urządzeń do naprawy podatnego sprzętu oraz ograniczenia powierzchni ataku podobnych urządzeń brzegowych.

Służby jako przykład działań rosyjskich grup podają ataki na starsze routery TP-Linka z wykorzystaniem luki CVE-2023-50224 (średni poziom zagrożenia, 6,5/10). Firma wyjaśnia, iż wszystkie dotknięte nią produkty osiągnęły już status „End-of-Life” i nie są już objęte standardowym wsparciem. Opublikowała listę tego sprzętu i wydała rekomendacje, w których zaleca przede wszystkim aktualizację niewspieranych już produktów do urządzeń, które otrzymują regularne aktualizacje zabezpieczeń.

Ostatnio grupie APT28 przypisuje się m.in. ataki z wykorzystaniem luki CVE-2026-21509 (skala zagrożenia 7,8/10) w pakietach takich jak Microsoft Office 2016 i 2019. Pozwala ona na dystrybucję złośliwych plików DOC. Przed zagrożeniem ostrzegło polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni. Microsoft pod koniec stycznia br. udostępnił aktualizację łatającą lukę. Eksperci cyberwojska zalecają niezwłoczne zainstalowanie tej aktualizacji bezpieczeństwa. APT28 atakowała też polskie instytucje rządowe w 2024 r.

Jak się chronić

Użytkowników routerów dla małych firm służby zachęcają do aktualizacji urządzeń, których wsparcie techniczne dobiegło końca oraz do aktualizacji firmware’u. Rekomendują też zmianę domyślnych nazw użytkowników i haseł oraz wyłączenia interfejsów zdalnego zarządzania z Internetu. Należy też zapoznać się z ostrzeżeniami dotyczącymi certyfikatów w przeglądarkach internetowych i klientach poczty e-mail – zalecono.

Ponadto firmy powinny zapoznać się z zasadami dostępu pracowników zdalnych do poufnych danych, takimi jak korzystanie z VPN i stosowanie wzmocnionych konfiguracji aplikacji. FBI i współpracujące służby sugerują też, by zachęcać pracowników do aktualizacji przestarzałych urządzeń osobistych.
Szczegółowe zalecenia dla urządzeń brzegowych są dostępne na stronie amerykańskiej agencji cyberbezpieczeństwa – CISA.