Минюст США и ФБР сообщили о судебно санкционированной операции против сети домашних и офисных роутеров, которую использовала российская группировка APT28, также известная как Fancy Bear и Forest Blizzard.
По версии американских ведомств, операторы GRU с 2024 года массово взламывали SOHO-роутеры, включая устройства TP-Link с уязвимостью CVE-2023-50224. После доступа к роутеру они меняли DHCP/DNS-настройки и направляли запросы пользователей на контролируемые серверы. Так можно было перехватывать учётные данные, токены аутентификации, почту и другую чувствительную информацию, особенно если жертва игнорировала предупреждения браузера о сертификате.
ФБР провело операцию против американской части этой инфраструктуры. Ведомство отправило на скомпрометированные роутеры команды, которые удаляли DNS-резолверы GRU, возвращали получение DNS от провайдера и закрывали использованный способ несанкционированного доступа. По заявлению Минюста, операция не затрагивала обычную работу роутеров и не собирала пользовательский контент.
Пользователям SOHO-устройств рекомендовали заменить устаревшие роутеры, обновить прошивку, проверить DNS-настройки и закрыть удалённое управление из интернета. Для организаций с удалёнными сотрудниками отдельно рекомендовали пересмотреть правила доступа к чувствительным данным, включая использование VPN и усиленных настроек приложений.
ссылка на оригинал статьи https://habr.com/ru/articles/1035030/