Mii de routere din întreaga lume, inclusiv din România, au fost compromise într-o amplă operațiune de spionaj cibernetic, atribuită unui grup de hackeri legați de armata rusă. Atacurile au vizat redirecționarea utilizatorilor către pagini web frauduloase, cu scopul de a fura parole și alte date sensibile.
O rețea globală de dispozitive vulnerabile
Conform cercetărilor efectuate de specialiști în securitate cibernetică, între 18.000 și 40.000 de routere din aproximativ 120 de țări au fost afectate. Majoritatea dispozitivelor compromise aparțin producătorilor MikroTik și TP-Link. Aceste routere au fost integrate într-o infrastructură controlată de grupul APT28, asociat cu serviciul de informații militare ruse GRU. Grupul este cunoscut pentru activitățile sale de spionaj cibernetic din ultimii douăzeci de ani, vizând instituții guvernamentale și alte entități importante la nivel global.
Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au primit actualizări de securitate. Odată ce routerul era compromis, atacatorii modificau setările DNS. Aceste modificări erau propagate către dispozitivele conectate. Când utilizatorii accesau anumite servicii online, inclusiv platforme precum Microsoft 365, traficul lor era redirecționat prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, cum ar fi token-uri de autentificare și credențiale, inclusiv cele obținute chiar și după finalizarea autentificării multifactor.
Cum au acționat hackerii
Operațiunea a debutat la o scară mai mică în mai 2025 și s-a intensificat semnificativ începând cu luna august, după ce autoritățile britanice au emis o alertă privind activități similare. În decembrie, cercetătorii au identificat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de numai patru săptămâni, ceea ce indică expansiunea rapidă a operațiunii.
Gruparea APT28 are un istoric îndelungat în ceea ce privește atacurile cibernetice. În 2018, acest grup a fost legat de infectarea a aproximativ 500.000 de routere prin intermediul malware-ului VPNFilter. Activități similare au fost documentate și în anii următori, inclusiv în 2024. Experții recomandă utilizatorilor să verifice setările DNS ale routerelor pentru a identifica eventualele modificări neautorizate. De asemenea, este indicat să se consulte jurnalele de activitate ale routerelor pentru a detecta schimbări suspecte. Utilizatorii sunt sfătuiți să înlocuiască echipamentele care nu mai beneficiază de actualizări de securitate și să evite accesarea site-urilor web care generează avertismente legate de certificate nesigure.
Aceste atacuri subliniază vulnerabilitățile infrastructurii de rețea utilizate pe scară largă. Fără măsuri de securitate adecvate, astfel de dispozitive pot deveni rapid instrumente în operațiuni de spionaj cibernetic cu impact major.
