Známá ruská hackerská skupina APT28 napojená na vojenskou zpravodajskou službu GRU zneužívala zranitelnost síťových zařízení TP-Link, aby je ovládla a sledovala přes ně citlivý provoz. K tomu docházelo minimálně od roku 2024, a to často bez podezření uživatelů.

Ještě včera (8. dubna) o tom informoval český Národní úřad pro kybernetickou bezpečnost (NÚKIB), tamější Vojenská zpravodajská služba (VZ) i americká FBI.

Jak uvádí Živě.cz, skupinu APT28, známou také pod názvy Fancy Bear, Forest Blizzard či Sofacy Group, odhalily a její aktivity zablokovaly úřady pod vedením bostonské pobočky FBI. Americký úřad spolupracoval s příslušnými organizacemi dalších napadených států, včetně Česka a Slovenska.

Do operace s názvem Masquerade se zapojila i česká Vojenská zpravodajská služba: „VZ provedla aktivní zásah spočívající v úpravě nastavení části globálně zneužívaných infrastruktur a zabezpečení potenciálně zneužitelných zařízení na území České republiky.“

„Kompromitovaná zařízení byla skupinou APT28 zneužívána ke sběru strategicky důležitých informací proti vojenským a vládním cílům v České republice i v zahraničí, včetně našich spojenců v NATO a EU,“ dodává Vojenská zpravodajská služba.

Využili zranitelné čínské routery

Útočníci konkrétně zneužili zranitelnost CVE-2023-50224, kterou trpělo několik desítek starších generací Wi-Fi routerů, 4G modemů nebo přístupových bodů čínského výrobce TP-Link.

Britský úřad pro kybernetickou bezpečnost zveřejnil jejich seznam, přičemž však dodává, že nemusí být úplný:

MR6400
ARCHER C5
ARCHER C7
WDR3600
WDR4300
WDR3500
WR740N
WR740N/WR741ND
WR749N
MR3420
WA801ND
WA901ND
WR1043ND
WR1045ND
WR840N
WR841HP
WR841N
WR841N/WR841ND
WR842N
WR842ND
WR845N
WR941ND
WR945N
Citlivé údaje byly čitelné
Vzhledem k zranitelnosti zmíněných zařízení bylo možné získat přístup správce a změnit nastavení služeb DHCP a DNS. Útočníci poté veškerý síťový provoz směrovali přes vlastní servery.

„Tímto způsobem mohou útočníci zachytávat přihlašovací údaje, autentizační tokeny, e-mailovou komunikaci nebo informace o prohlížení internetu. V některých případech jsou schopni provádět takzvané útoky typu ‚adversary-in-the-middle‘, při nichž dokážou číst i komunikaci, která je za běžných okolností chráněna šifrováním,“ uvádí slovenský Národní bezpečnostní úřad (NBÚ).

Autor: Petr V., zdroj: FBI, NÚKIB, Titulní obrázek: Pixabay.com / TheDigitalArtist