Российские хакеры взломали роутеры в госучреждениях в странах по всему миру

Об этом объявили Федеральное ведомство по охране конституции Германии (BfV), Федеральная разведывательная служба Германии (BND) и ФБР США. Ведомства опубликовали соответствующее предупреждение, в котором рассказали о кибератаках, направленных на роутеры, используемые государственными учреждениями и организациями по всему миру.

Злоумышленники изменяли DNS-настройки скомпрометированных роутеров, перенаправляя трафик через подконтрольные им серверы. Жертв, которые пытались воспользоваться популярными сервисами вроде Microsoft Outlook, перенаправляли на поддельные страницы, где они вводили свои настоящие учётные данные.

Таким образом осуществлялись атаки типа «человек посередине» с целью перехвата паролей, токенов OAuth и других учётных данных для веб-сервисов и электронной почты.

Ответственной за атаки названа хакерская группировка APT28, также известная как Fancy Bear, которую западные правительства связывают с Главным разведывательным управлением Генерального штаба вооружённых сил России.

Согласно данным исследователей из Black Lotus Labs, операция, получившая кодовое название FrostArmada, ведётся как минимум с мая прошлого года. Масштабная эксплуатация роутеров и перенаправление DNS-трафика начались в августе 2025 года. На пике активности в декабре с инфраструктурой APT28 взаимодействовали более 18 тысяч уникальных IP-адресов из не менее чем 120 стран.

Среди основных моделей, подвергшихся эксплуатации, — роутер TP-Link WR841N. Для получения доступа использовалась уязвимость, позволяющая неавторизованному злоумышленнику извлечь учётные данные через специально сформированные HTTP GET-запросы. Помимо роутеров TP-Link, в кампании также использовались скомпрометированные устройства MikroTik.

Основными целями операции стали правительственные учреждения — министерства иностранных дел, правоохранительные органы, а также сторонние провайдеры электронной почты и облачных сервисов в странах Северной Африки, Центральной Америки, Юго-Восточной Азии и Европы.

По данным Microsoft Threat Intelligence, жертвами операции стали более чем 200 организаций и 5 тысяч пользовательских устройств. В Германии были выявлены около 30 уязвимых устройств. В ряде случаев факт компрометации был подтверждён, после чего операторы заменили затронутые роутеры.

Вчера Национальный центр кибербезопасности Великобритании (NCSC) опубликовал отдельный технический бюллетень с подробным описанием тактик, техник и процедур, использованных APT28. По оценке центра, DNS-перехваты носили «оппортунистический характер»: группировка получала доступ к широкому пулу потенциальных жертв, а затем на каждом этапе отсеивала тех, кто представлял разведывательный интерес.