Ruskí hackerskí pohyby na Slovensku: Ako sa chrániť pred útokmi cez Wi-Fi
Ruská hackerská skupina APT28, známa aj ako Fancy Bear, využívala zraniteľnosti v sieťových zariadeniach TP-Link na sledovanie citlivej komunikácie vo viacerých krajinách, vrátane Slovenska. Útoky sa datujú minimálne od roku 2024 a obeťami sa stali nepozorní používateľia, ktorí si ani nevšimli, že ich zariadenia boli pod kontrolou útočníkov.
O tejto hrozbe informovali naše úrady po nedávnom hlásení českého Národního úřadu pro kybernetickou bezpečnost, Vojenskej spravodajskej služby a americkej FBI. Centrálne správy naznačujú, že zmačknuté zariadenia mali strategický význam a hakovali sa najmä na získanie informácií proti vojenským a vládnym cieľom na území Českej republiky a Slovenska.
Aká bola taktika útočníkov?
Rusi dokázali prevziať kontrolu nad uvedenými zariadeniami vďaka zraniteľnosti CVE-2023-50224. Toto bezpečnostné nedostatok sa týkal rôznych modelov Wi-Fi routerov a 4G modemov, čo znamená, že široký okruh používateľov mohol byť ohrozený. Medzi zraniteľné modely patrili napríklad MR6400, ARCHER C5, ARCHER C7 a desiatky ďalších.
Útočníci mali prístup k administratívnym nastaveniam a mohli manipulovať s konfiguráciou DNS a DHCP, čo im umožnilo presmerovať sieťovú prevádzku na svoje servery. Týmto spôsobom mohli zachytiť prihlasovacie údaje, autentifikačné tokeny či e-mailovú komunikáciu. V niektorých prípadoch dokonca dokázali preniknúť aj do šifrovanej komunikácie, ktorá by normálne mala byť chránená.
Reakcia úradov a odporúčania
FBI a českí odborníci rýchlo zasiahli a resetovali DNS nastavenia na kompromitovaných zariadeniach, no konečná zodpovednosť za ochranu spočíva na používateľoch. Národný bezpečnostný úrad (NBÚ) odporúča niekoľko kľúčových krokov na ochranu pred takýmito útokmi:
- Vymeniť staršie sieťové zariadenia, pre ktoré neexistujú bezpečnostné aktualizácie.
- Pravidelne aktualizovať firmvér na najnovšie verzie.
- Zmeniť predvolené prihlasovacie údaje k zariadeniu a skontrolovať nastavenia DNS.
- Aktivovať firewall, ktorý dokáže blokovať nežiaduce spojenia.
- Vypnúť vzdialenú správu zariadenia z internetu.
Navyše, organizáciám, ktoré umožňujú zamestnancom prácu z domu, sa odporúča používať zabezpečené pripojenie cez VPN a pravidelne kontrolovať bezpečnostné nastavenia zariadení, ktoré zamestnanci používajú na prístup k citlivým systémom.
Prečo je prevencia dôležitá?
Útoky takéhoto typu sú zvyčajne nenápadné a ich detekcia môže trvať mesiace, ak nie roky. Preto je dôležité predchádzať potenciálnym hrozbám zlepšením kybernetickej bezpečnosti a vedomím, že aj obyčajné domáce smerovače môžu predstavovať riziko. Používatelia by mali byť informovaní a pripraveni na akékoľvek náznaky, ktoré by mohli signalizovať, že ich zariadenia mohli byť ohrozené.
V prípade podozrenia na kompromitáciu je zásadné okamžite nahlásiť incident príslušným bezpečnostným orgánom.
Forenzná analýza a ochrana pred podvodmi
Na ochranu pred budúcimi hrozbami je nevyhnutné mať systém prevencie a včasnej reakcie na podozrivé aktivity. Rovnako treba pozorovať zdroje DNS; ak by sa objavili adresy, ktoré sú podozrivé alebo by sa nedali dohľadať, mohlo by ísť o indikáciu zraniteľnosti. Pokročilí používatelia by mohli využiť aj techniky ako traceroute na určenie geografickej polohy DNS serverov.
Zraniteľnosti v kybernetickej bezpečnosti sú stále častejšie predmetom diskusií, preto je kritické, aby všetci používatelia a organizácie robustne chrániť svoj digitálny ekosystém, čím predídu potenciálnym stratám spôsobeným hackermi a ich útokmi.
