SG.hu·
Orosz katonai hackerek brit internethasználók forgalmát irányították át
Orosz katonai kibertámadók egy elit egysége olyan útválasztókba tört be, amelyeket széles körben használnak az Egyesült Királyságban, és ezzel lehetővé tették, hogy titokban átirányítsák a felhasználók internetes forgalmát az általuk irányított rosszindulatú szerverek felé - figyelmeztetett a brit Nemzeti Kiberbiztonsági Központ.
Az NCSC közölte, hogy az APT28 nevű orosz állami kibercsoport - az orosz katonai hírszerzés egyik egysége - sebezhető internetes útválasztókat használt ki úgynevezett domainnév rendszer eltérítési műveletekhez. Ez a módszer lehetővé teszi a támadók számára, hogy elfogják az adatforgalmat, és ellopják a jelszavakat, valamint a hozzáférési tokeneket személyes webes és e mail szolgáltatásokból. A biztonsági szervezet két céget is megnevezett, amelyek eszközei sérülékenyek lehetnek ezzel a módszerrel szemben. Ezek a TP Link és a MikroTik.
Paul Chichester, az NCSC műveleti igazgatója azt mondta, hogy a megállapítások "megmutatják, miként használhatják ki a kifinomult kibertámadók a széles körben használt hálózati eszközökben található sebezhetőségeket". Hozzátette, hogy a vállalatoknak és a magánszemélyeknek is gondoskodniuk kell saját védelmükről. Az NCSC több olyan intézkedést is felsorolt, amelyek csökkenthetik a kockázatokat, például a biztonsági frissítések telepítését és a rendszeres vírusellenőrzést.
Az ilyen típusú támadás során a hackerek beavatkoznak a domainnév rendszer működésébe. Ez az a folyamat, amely lehetővé teszi, hogy a felhasználók ismerős webcímek begépelésével jussanak el az egyes weboldalakra. A támadók ilyenkor észrevétlenül rosszindulatú weboldalakra irányíthatják a felhasználókat, amelyeket kifejezetten a bejelentkezési adatok vagy más érzékeny információk megszerzésére hoztak létre. Az NCSC szerint ez a tevékenység "valószínűleg opportunista jellegű". Ez azt jelenti, hogy a hackerek széles körben próbálnak minél több lehetséges áldozatot elérni, majd a támadás későbbi szakaszában a hírszerzési szempontból érdekes célpontokra szűkítik a fókuszt.
Az APT28 az elmúlt évek néhány legnagyobb visszhangot kiváltó kibertámadásában is szerepet játszott. Az NCSC szerint "szinte bizonyosan" az orosz katonai hírszerzés, vagyis a GRU 26165-ös egységéről van szó. A csoportot összefüggésbe hozták az Egyesült Államok Demokrata Nemzeti Bizottsága elleni kibertámadással, a német Bundestag elleni akcióval, valamint az Ukrajnát támogató nyugati logisztikai rendszerek elleni támadásokkal. A csoport több fedőnéven is ismert, például Forest Blizzard vagy Fancy Bear néven. A TP Link útválasztóit korábban amerikai szakértők már említették nagy kiberműveletek kapcsán, amelyeket Kínához kötöttek, és amelyeket 2023-ban és 2024-ben lepleztek le. Ezek voltak az úgynevezett Salt Typhoon és Volt Typhoon műveletek, amelyek célja az amerikai rendszerekbe való behatolás volt.
A TP Link weboldalán közzétett közlemény szerint a vállalat útválasztóinak sebezhetősége "mítosz". "A nyilvánosan elérhető információk alapján a kínai fenyegető szereplők kampányai, köztük a Volt Typhoon, a Salt Typhoon és a Flax Typhoon, nem mutatnak kimutatható preferenciát a TP Link útválasztók használatára támadási eszközként. Ezek a szereplők különböző gyártók széles körű útválasztóit vették célba" - áll a vállalat közleményében. A múlt hónapban az Egyesült Államok Szövetségi Kommunikációs Bizottsága megtiltotta új, külföldön gyártott fogyasztói internetes útválasztók forgalomba hozatalát, arra hivatkozva, hogy ezek ellátási láncbeli biztonsági kockázatot jelentenek.
Az NCSC közölte, hogy az APT28 nevű orosz állami kibercsoport - az orosz katonai hírszerzés egyik egysége - sebezhető internetes útválasztókat használt ki úgynevezett domainnév rendszer eltérítési műveletekhez. Ez a módszer lehetővé teszi a támadók számára, hogy elfogják az adatforgalmat, és ellopják a jelszavakat, valamint a hozzáférési tokeneket személyes webes és e mail szolgáltatásokból. A biztonsági szervezet két céget is megnevezett, amelyek eszközei sérülékenyek lehetnek ezzel a módszerrel szemben. Ezek a TP Link és a MikroTik.
Paul Chichester, az NCSC műveleti igazgatója azt mondta, hogy a megállapítások "megmutatják, miként használhatják ki a kifinomult kibertámadók a széles körben használt hálózati eszközökben található sebezhetőségeket". Hozzátette, hogy a vállalatoknak és a magánszemélyeknek is gondoskodniuk kell saját védelmükről. Az NCSC több olyan intézkedést is felsorolt, amelyek csökkenthetik a kockázatokat, például a biztonsági frissítések telepítését és a rendszeres vírusellenőrzést.
Az ilyen típusú támadás során a hackerek beavatkoznak a domainnév rendszer működésébe. Ez az a folyamat, amely lehetővé teszi, hogy a felhasználók ismerős webcímek begépelésével jussanak el az egyes weboldalakra. A támadók ilyenkor észrevétlenül rosszindulatú weboldalakra irányíthatják a felhasználókat, amelyeket kifejezetten a bejelentkezési adatok vagy más érzékeny információk megszerzésére hoztak létre. Az NCSC szerint ez a tevékenység "valószínűleg opportunista jellegű". Ez azt jelenti, hogy a hackerek széles körben próbálnak minél több lehetséges áldozatot elérni, majd a támadás későbbi szakaszában a hírszerzési szempontból érdekes célpontokra szűkítik a fókuszt.
Az APT28 az elmúlt évek néhány legnagyobb visszhangot kiváltó kibertámadásában is szerepet játszott. Az NCSC szerint "szinte bizonyosan" az orosz katonai hírszerzés, vagyis a GRU 26165-ös egységéről van szó. A csoportot összefüggésbe hozták az Egyesült Államok Demokrata Nemzeti Bizottsága elleni kibertámadással, a német Bundestag elleni akcióval, valamint az Ukrajnát támogató nyugati logisztikai rendszerek elleni támadásokkal. A csoport több fedőnéven is ismert, például Forest Blizzard vagy Fancy Bear néven. A TP Link útválasztóit korábban amerikai szakértők már említették nagy kiberműveletek kapcsán, amelyeket Kínához kötöttek, és amelyeket 2023-ban és 2024-ben lepleztek le. Ezek voltak az úgynevezett Salt Typhoon és Volt Typhoon műveletek, amelyek célja az amerikai rendszerekbe való behatolás volt.
A TP Link weboldalán közzétett közlemény szerint a vállalat útválasztóinak sebezhetősége "mítosz". "A nyilvánosan elérhető információk alapján a kínai fenyegető szereplők kampányai, köztük a Volt Typhoon, a Salt Typhoon és a Flax Typhoon, nem mutatnak kimutatható preferenciát a TP Link útválasztók használatára támadási eszközként. Ezek a szereplők különböző gyártók széles körű útválasztóit vették célba" - áll a vállalat közleményében. A múlt hónapban az Egyesült Államok Szövetségi Kommunikációs Bizottsága megtiltotta új, külföldön gyártott fogyasztói internetes útválasztók forgalomba hozatalát, arra hivatkozva, hogy ezek ellátási láncbeli biztonsági kockázatot jelentenek.