Tin tặc chính phủ Nga xâm nhập hàng ngàn router gia đình để đánh cắp mật khẩu

Tin tặc chính phủ Nga xâm nhập hàng ngàn router tại nhà để đánh cắp mật khẩu

Một nhóm tin tặc chính phủ Nga đã xâm nhập hàng ngàn router gia đình và doanh nghiệp nhỏ trên khắp thế giới như một phần của chiến dịch đang diễn ra nhằm chuyển hướng lưu lượng truy cập internet của nạn nhân để đánh cắp mật khẩu và mã thông báo truy cập của họ, các nhà nghiên cứu bảo mật và cơ quan chính phủ cảnh báo hôm thứ Ba.

Đây là chiến thuật mới nhất của nhóm tin tặc Nga hoạt động lâu năm, được biết đến với tên gọi Fancy Bear, hay APT 28, nổi tiếng với các vụ hack và hoạt động gián điệp quy mô lớn, bao gồm vụ xâm nhập Ủy ban Quốc gia Đảng Dân chủ năm 2016 và vụ hack phá hoại nhắm vào nhà cung cấp dịch vụ vệ tinh Viasat vào năm 2022. Fancy Bear được cho là một phần của cơ quan tình báo GRU của Nga.

Nhóm tin tặc đã nhắm mục tiêu vào các router chưa được vá lỗi do MicroTik và TP-Link sản xuất bằng cách sử dụng các lỗ hổng đã được tiết lộ trước đó, theo đơn vị an ninh mạng NCSC của chính phủ Vương quốc Anh và bộ phận nghiên cứu Black Lotus Labs của Lumen, những đơn vị đã công bố chi tiết mới về chiến dịch hôm thứ Ba.

Theo các nhà nghiên cứu, tin tặc đã có thể theo dõi một số lượng lớn người trong vài năm bằng cách xâm nhập các router của họ, nhiều router trong số đó chạy phần mềm lỗi thời, khiến chúng dễ bị tấn công từ xa mà chủ sở hữu không hề hay biết. NCSC cho biết các hoạt động này "có khả năng mang tính cơ hội, với việc tác nhân tung ra một mạng lưới rộng lớn để tiếp cận nhiều nạn nhân tiềm năng, trước khi thu hẹp vào các mục tiêu tình báo khi cuộc tấn công phát triển."

Theo các nhà nghiên cứu và khuyến cáo của chính phủ, tin tặc Nga đã hack các router để sửa đổi cài đặt của thiết bị để các yêu cầu internet của nạn nhân được bí mật chuyển đến cơ sở hạ tầng do tin tặc điều hành. Điều này cho phép tin tặc chuyển hướng nạn nhân đến các trang web giả mạo dưới sự kiểm soát của chúng, sau đó đánh cắp mật khẩu và mã thông báo cho phép tin tặc đăng nhập vào tài khoản trực tuyến của nạn nhân mà không cần mã xác thực hai yếu tố của họ.

Black Lotus Labs cho biết Fancy Bear đã xâm nhập ít nhất 18.000 nạn nhân ở khoảng 120 quốc gia, bao gồm các cơ quan chính phủ, cơ quan thực thi pháp luật và nhà cung cấp dịch vụ email ở Bắc Phi, Trung Mỹ và Đông Nam Á.

Microsoft, đơn vị cũng công bố chi tiết về chiến dịch hôm thứ Ba, cho biết trong một bài đăng trên blog rằng các nhà nghiên cứu của họ đã xác định được hơn 200 tổ chức và 5.000 thiết bị tiêu dùng bị ảnh hưởng bởi các hoạt động hack này, bao gồm ít nhất ba tổ chức chính phủ ở Châu Phi.

FBI dự kiến sẽ công bố việc gỡ xuống một số tên miền được tin tặc sử dụng trong chiến dịch này. Lumen cho biết họ là một phần của liên minh, bao gồm cả FBI, đã phá vỡ mạng botnet và đưa nó ngoại tuyến. Một phát ngôn viên của FBI đã không trả lời các yêu cầu bình luận trước khi xuất bản.

Lorenzo Franceschi-Bicchierai là Nhà văn cấp cao tại TechCrunch, nơi ông đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh liên hệ từ Lorenzo bằng cách gửi email đến lorenzo@techcrunch.com, qua tin nhắn được mã hóa theo số +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.