Németország is figyelmeztet
A német Szövetségi Alkotmányvédelmi Hivatal és több partnere – köztük az FBI és más nyugati hírszerző szervezetek – közösen figyelmeztetnek egy aktív orosz állami kiberkémkedési műveletre. A fenyegető szereplő egyértelműen az APT28 (Fancy Bear, Forest Blizzard), a GRU 85. különleges szolgálati központjához köthető egység.
A kampány középpontjában a világszerte elérhető, sérülékeny hálózati eszközök – különösen routerek – kompromittálása áll, amelyeket a támadók kiberkémkedési célokra használnak fel.
A közlemény szerint a támadók a megszerzett hozzáférést arra használják, hogy a hálózati forgalmat manipulálják, különösen DNS-beállítások módosításával, így lehetővé téve a felhasználók adatforgalmának eltérítését. Ez a módszer lehetővé teszi hitelesítési adatok megszerzését, miközben a támadás a hálózati infrastruktúra szintjén történik, nem közvetlenül a végpontokon.
Németországban körülbelül 30 sebezhető eszközt azonosítottak. A Szövetségi Alkotmányvédelmi Hivatal (Bundesamt für Verfassungsschutz) azonosította a megtámadott TP-Link routerek üzemeltetőit, és március 13-tól kezdődően az alkotmányvédelmi hivatalokkal együttműködve figyelmeztette őket. Egyes esetekben az APT28 általi kompromisszumot már megerősítették. Az üzemeltetők ajánlásokat kaptak a sebezhető eszközök megerősítésére, hogy megvédjék őket a további kibertámadásoktól. Számos TP-Link routert lecseréltek.
A fenyegetés különösen azért jelentős, mert a támadók tömegesen kompromittálnak eszközöket, majd ezek közül választják ki a releváns célpontokat, ami skálázható és nehezen detektálható működést tesz lehetővé. A célpontok között kormányzati és katonai szervezetek, valamint kritikus infrastruktúrák szerepelnek, ami egyértelműen hírszerzési célú műveletre utal.
