Operácia Masquerade
Ruská štátom podporovaná hackerská skupina APT28, známa aj ako Fancy Bear či Sofacy, dlhodobo patrí medzi najsofistikovanejších aktérov v oblasti kyberšpionáže. Najnovšie zistenia ukazujú, že minimálne od roku 2024 systematicky zneužívala zraniteľnosti v sieťových zariadeniach značky TP-Link, čím si vytvárala rozsiahlu infraštruktúru na odpočúvanie a manipuláciu sieťovej komunikácie, píše český Národný úrad pre kybernetickú a informačnú bezpečnosť.
Operácia, ktorú americké úrady označili ako Masquerade, bola koordinovaná predovšetkým prostredníctvom Federal Bureau of Investigation, konkrétne jej bostonskej pobočky. Do zásahu sa zapojili aj európske spravodajské služby vrátane Slovenska a Česka.
Útočníci pritom využívali slabinu evidovanú ako CVE-2023-50224, ktorá sa nachádzala v starších generáciách routerov, 4G modemov a prístupových bodov. V praxi to znamenalo, že tisíce zariadení po celom svete mohli byť bez vedomia používateľov premenené na nástroje kybernetickej špionáže.
Technický princíp útoku bol mimoriadne nebezpečný. Po získaní administrátorského prístupu dokázali útočníci meniť konfiguráciu DNS a DHCP služieb. To im umožnilo presmerovať internetovú komunikáciu cez vlastné servery bez toho, aby si to používateľ všimol.
V praxi išlo o pokročilú formu útoku typu adversary-in-the-middle, čo je evolúcia klasického man-in-the-middle scenára, optimalizovaná na obchádzanie moderných bezpečnostných mechanizmov. Britský úrad pre kybernetickú bezpečnosť zverejnil aj zoznam ohrozených routerov, ktorý však nemusí byť úplny:
- MR6400
- ARCHER C5
- ARCHER C7
- WDR3600
- WDR4300
- WDR3500
- WR740N
- WR740N/WR741ND
- WR749N
- MR3420
- WA801ND
- WA901ND
- WR1043ND
- WR1045ND
- WR840N
- WR841HP
- WR841N
- WR841N/WR841ND
- WR842N
- WR842ND
- WR845N
- WR941ND
- WR945N
Získali dáta vhodné na špionáž
Zvlášť znepokojujúce je, že cieľom boli najmä služby spoločnosti Microsoft, konkrétne platformy ako Outlook a Office 365. Manipuláciou DNS odpovedí dokázali útočníci presmerovať používateľov na podvrhnuté servery, ktoré imitovali legitímne služby.
Aj keď komunikácia prebiehala cez šifrovanie SSL/TLS, útočníci boli schopní zachytiť autentizačné tokeny, prihlasovacie údaje a v niektorých prípadoch aj samotný obsah komunikácie.
Za týmto typom operácií stojí spravidla vojenská spravodajská služba GRU, ktorá využíva kybernetické nástroje ako integrálnu súčasť hybridného boja. Získané dáta majú strategickú hodnotu a sú využiteľné nielen na špionáž, ale aj na prípravu ďalších operácií vrátane sabotáže kritickej infraštruktúry.
Zásah bezpečnostných zložiek spočíval v tom, že využili rovnaký prístup k napadnutým zariadeniam a resetovali škodlivé DNS nastavenia. Ide však len o čiastočné riešenie. Samotná architektúra týchto útokov ukazuje, že slabým miestom ostáva koncový používateľ a jeho zariadenie. Ak výrobca prestane vydávať aktualizácie firmvéru, zariadenie sa prakticky mení na trvalé bezpečnostné riziko.
