Cluj 11°C
Timișoara 13°C
Iași 9°C
Mii de routere din România și din întreaga lume au fost compromise într-o amplă operațiune de spionaj cibernetic, pusă pe seama unui grup afiliat armatei ruse
Mii de routere din România și din întreaga lume au fost compromise într-o amplă operațiune de spionaj cibernetic, pusă pe seama unui grup afiliat armatei ruse. Atacurile au vizat redirecționarea utilizatorilor către site-uri web false, concepute pentru a fura parole și alte date sensibile. Potrivit cercetărilor, operațiunea a afectat zeci de mii de dispozitive în peste 120 de țări.
Majoritatea routerelor compromise aparțin producătorilor MikroTik și TP-Link, fiind folosite atât de persoane fizice, cât și de birouri mici. Aceste dispozitive au fost integrate într-o infrastructură controlată de APT28, un grup asociat cu serviciul de informații militare ruse GRU. Grupul APT28 este cunoscut pentru atacuri cibernetice pe termen lung, vizând instituții guvernamentale și organizații din întreaga lume. Atacatorii au exploatat vulnerabilități existente în modele mai vechi de routere, care nu au beneficiat de actualizări de securitate. După compromitere, au modificat setările DNS și au propagat schimbările către dispozitivele conectate. Astfel, în momentul accesării anumitor servicii online, inclusiv platforme populare, traficul utilizatorilor era redirecționat prin servere controlate de atacatori. Aceste servere intermediare interceptau conexiunile și colectau date sensibile, inclusiv parole și alte date personale, chiar și după autentificarea prin mai mulți factori.
Campania a debutat la scară redusă în mai 2025, dar a crescut semnificativ după august, când autoritățile britanice au emis o avertizare legată de activități similare. În decembrie, cercetătorii au observat peste 290.000 de adrese IP distincte care interacționau cu infrastructura malițioasă într-un interval de doar patru săptămâni, demonstrând extinderea rapidă a operațiunii. Grupul APT28 are un istoric de atacuri cibernetice, fiind implicat în infecția a aproximativ 500.000 de routere prin malware-ul VPNFilter în 2018. Au fost documentate și alte atacuri similare în anii următori, inclusiv în 2024. Specialiștii recomandă utilizatorilor să verifice setările DNS ale routerelor pentru a identifica eventuale modificări neautorizate și să consulte jurnalele de activitate pentru depistarea schimbărilor suspecte. De asemenea, se recomandă înlocuirea echipamentelor care nu mai primesc actualizări de securitate și evitarea accesării site-urilor web care generează avertismente legate de certificate nesigure. Acest tip de atac evidențiază vulnerabilitățile infrastructurii de rețea utilizate pe scară largă. Fără măsuri de securitate adecvate, astfel de echipamente pot deveni rapid instrumente în operațiuni de spionaj cibernetic cu impact global.Dispozitive vulnerabile și metode de atac
Operațiunea, în continuă extindere
