Обнаружена активность группы APT28, связанной с подразделениями ГРУ РФ, которая осуществляет масштабные кибератаки через компрометацию домашних и корпоративных маршрутизаторов. Злоумышленники изменяют настройки DNS, что позволяет им перехватывать пароли и цифровые ключи, а также направлять пользователей на фишинговые или мошеннические ресурсы
Об этом сообщает Резонанс
Детали атак
Атаки имеют массовый характер: на начальном этапе охватывают широкую аудиторию, после чего сосредотачиваются на тех пользователях, чьи данные представляют интерес для разведки и экономической выгоды. В группе риска оказываются сотрудники государственных учреждений, логистических компаний и оборонных организаций. Основные цели операций — получение секретной информации, промышленный шпионаж и дестабилизация критических систем инфраструктуры
Ранее фиксировалась причастность APT28 к кибератакам на немецкий Бундестаг, Организацию по запрещению химического оружия (ОЗХО) и логистические компании. Убезпечиться от этих атак можно путем обновления маршрутизаторов, использования сложных паролей и двухфакторной аутентификации
— указывают в ЦПД.
Последствия и рекомендации
Операции такого типа угрожают как частным пользователям, так и критическим национальным системам. Чтобы снизить риски, эксперты советуют обновить прошивку маршрутизаторов до последних версий, изменить стандартные логины и пароли, отключить удаленный доступ к интерфейсу настроек и использовать двухфакторную аутентификацию там, где это возможно. Дополнительные меры — настройка надежных DNS-сервисов, сегментация сети (выделение IoT-устройств в отдельные VLAN), регулярные проверки подозрительных перенаправлений трафика и обращение к специалистам в случае выявления аномалий.
Контекстом таких операций является общее усиление киберактивности: фиксируется рост атак со стороны проиранских хакерских групп, которые чаще нацеливаются на США и их союзников, и прослеживается сотрудничество отдельных сетей со стороны российских хакерских структур