Národný bezpečnostný úrad (NBÚ) upozornil na to, že zariadenie, ktoré má doma alebo v kancelárii takmer každý – internetový smerovač (router), sa stalo cieľom rozsiahlej kybernetickej kampane.
Medzinárodné bezpečnostné a spravodajské agentúry upozornili, že hekeri napojení na ruskú vojenskú spravodajskú službu GRU zneužívajú zraniteľné smerovače po celom svete.
NBÚ na svojom portáli uviedol, že ide o zariadenia, ktoré sú bežnou súčasťou domácností a firiem, a bežne sa používajú na pripojenie k internetu. Z tohto dôvodu sú lákadlom pre kybernetických útočníkov.
Ich cieľom je zachytávať a získavať citlivé informácie z vojenského, vládneho prostredia a z prostredia kritickej infraštruktúry.
Americké ministerstvo spravodlivosti spolu s FBI nedávno zasiahli proti sieti kompromitovaných domácich a kancelárskych smerovačov, ktoré boli využívané na škodlivé operácie známe ako DNS hijacking – presmerovanie internetovej komunikácie cez servery kontrolované útočníkmi.
Zapojilo sa aj Slovensko
Na varovaní spolupracovali aj partnerské bezpečnostné inštitúcie z viacerých krajín. Slovensko zastupovali Slovenská informačná služba a Vojenské spravodajstvo. Okrem neho spolupracovali aj inštitúcie z Českej republiky, Nemecka, Poľska, Kanady, Ukrajiny a ďalších štátov. K varovaniu sa pridal aj NBÚ.
Bezpečnostné služby zistili, že za útokmi je skupina označovaná ako APT28, známa aj pod názvami Fancy Bear alebo Forest Blizzard, ktorá je spájaná s 85. špeciálnym servisným centrom GRU.
Táto skupina od roku 2024 systematicky vyhľadáva zraniteľné smerovače a získava prístup k ich nastaveniam. Následne mení DNS konfiguráciu zariadení, čím presmerúva internetovú komunikáciu cez vlastnú infraštruktúru. Vďaka tomuto spôsobu môžu útočníci zachytávať prihlasovacie údaje, autentifikačné tokeny, e-mailovú komunikáciu alebo informácie o prehliadaní internetu.
V niektorých prípadoch sú schopní vykonávať takzvané „adversary-in-the-middle“ útoky, pri ktorých dokážu čítať aj komunikáciu, ktorá je za bežných okolností chránená šifrovaním.
Ako sa chrániť?
Bezpečnostné úrady vyzývajú používateľov aj organizácie, aby skontrolovali svoje smerovače a prijali základné preventívne opatrenia.
Národný bezpečnostný úrad odporúča, aby si používatelia aktualizovali firmvér, vymenili zastarané zariadenia bez bezpečnostnej podpory a vykonali zmenu predvolených prihlasovacích údajov a hesiel.
Úrad pripravil opatrenia aj pre organizácie, ktoré umožňujú zamestnancom pracovať na diaľku. Odporúča im, aby používali zabezpečené pripojenie cez VPN a aby pravidelne kontrolovali bezpečnostné nastavenia zariadení, prostredníctvom ktorých zamestnanci pristupujú k citlivým systémom.
V prípade, ak by organizácia mala podozrenia na kompromitáciu zariadenia alebo kybernetický útok, NBÚ varuje, že je potrebné incident bezodkladne nahlásiť príslušným bezpečnostným orgánom a poskytnúť informácie o type zariadenia a jeho sieťovej konfigurácii.
NBÚ odporúča nahlásiť podozrenie na kybernetický útok prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti (JISKB) alebo zaslaním oznámenia na e-mailovú adresu incident@nbu.gov.sk.
