Tehnologie

Mii de Routere Compromise: Spionaj Cibernetic cu Amprentă Rusă O amplă operațiune de spionaj cibernetic, atribuită unui grup afiliat armatei ruse, a compromis mii de routere utilizate de persoane fizice și firme mici, redirecționând utilizatorii către site-uri web care le furau datele

— 09 apr. 2026
Mii de Routere Compromise: Spionaj Cibernetic cu Amprentă Rusă O amplă operațiune de spionaj cibernetic, atribuită unui grup afiliat armatei ruse, a compromis mii de routere utilizate de persoane fizice și firme mici, redirecționând utilizatorii către site-uri web care le furau datele

Mii de Routere Compromise: Spionaj Cibernetic cu Amprentă Rusă

O amplă operațiune de spionaj cibernetic, atribuită unui grup afiliat armatei ruse, a compromis mii de routere utilizate de persoane fizice și firme mici, redirecționând utilizatorii către site-uri web care le furau datele. Atacurile au vizat în jur de 120 de țări, cu un număr al dispozitivelor afectate estimat între 18.000 și 40.000. Incidentele subliniază vulnerabilitățile infrastructurii de rețea la nivel global.

Cum Au Acționat Atacatorii

Conform cercetărilor efectuate de Black Lotus Labs din cadrul Lumen Technologies, grupul APT28, asociat cu serviciul de informații militare ruse GRU, a fost în spatele acestor atacuri. Grupul, activ de peste două decenii, este cunoscut pentru atacurile cibernetice asupra instituțiilor guvernamentale din întreaga lume. Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, în special cele produse de MikroTik și TP-Link, care nu au primit actualizări de securitate.

După compromitere, atacatorii au modificat setările DNS ale routerelor, propagând aceste schimbări către toate dispozitivele conectate. Când utilizatorii accesau anumite servicii online, inclusiv platforme precum Microsoft 365, traficul lor era redirecționat prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, inclusiv parole și token-uri de autentificare.

O Operațiune Cibernetică Extinsă și Insidioasă

Campania a început la o scară mai mică în mai 2025, dar a crescut semnificativ după august, odată cu o alertă emisă de autoritățile britanice privind activități similare. În decembrie, cercetătorii au identificat peste 290.000 de adrese IP distincte care au interacționat cu infrastructura malițioasă într-un interval de doar patru săptămâni.

Grupul APT28 nu este la primul atac de acest fel. În 2018, acesta a fost asociat cu infectarea a aproximativ 500.000 de routere prin malware-ul VPNFilter. Activități similare au fost documentate și în anii următori, inclusiv în 2024. Specialiștii recomandă utilizatorilor să verifice setările DNS ale routerelor pentru modificări neautorizate și să consulte jurnalele de activitate pentru a depista schimbări suspecte. De asemenea, se recomandă înlocuirea echipamentelor care nu mai primesc actualizări de securitate și evitarea site-urilor cu certificate nesigure.

Acest tip de atac subliniază vulnerabilitățile existente în infrastructura de rețea.

Articole similare