A támadások mögött a hírhedt APT28 áll.
2026 áprilisában súlyos kiberbiztonsági figyelmeztetés érkezett: egy Oroszországhoz köthető hackercsoport globális támadásokat hajt végre, amelyek során otthoni és kisvállalati routereket (SOHO) használ fel adatlopásra.
A jelentést a National Cyber Security Centre tette közzé.
Tömeges router feltörések világszerte
Az APT28:
- kis irodai és otthoni routereket támad
- tömegesen fertőzi meg az eszközöket
- az internetes forgalmat manipulálja
👉 cél: érzékeny adatok megszerzése
A csoport feltételezhetően a:
- GRU Unit 26165 egységhez tartozik
DNS eltérítés: láthatatlan adatlopás
A támadások központi eleme a DNS hijacking (DNS eltérítés).
Mit jelent ez?
A támadók:
- módosítják a router DNS beállításait
- átirányítják az internetes forgalmat
- saját szervereiken keresztül vezetik azt
👉 ez egy ún.:
„adversary-in-the-middle” támadás
Mit tudnak ellopni?
A támadók hozzáférhetnek:
- jelszavakhoz
- session cookie-khoz
- OAuth tokenekhez
👉 még titkosított kapcsolatok esetén is, ha a felhasználót megtévesztik
Hogyan fertőzik meg a routereket?
A támadók ismert sebezhetőségeket használnak ki.
Érintett például:
- TP-Link eszközök
Kulcs sérülékenység:
- CVE-2023-50224
Ez lehetővé teszi:
- adminisztrátori adatok megszerzését
- teljes hozzáférést a routerhez
Mit csinálnak a hozzáférés után?
A támadók:
- megváltoztatják a DNS szervereket
- rosszindulatú IP címeket állítanak be
- manipulálják a DHCP konfigurációt
👉 így minden csatlakozott eszköz:
- laptop
- telefon
- tablet
automatikusan fertőzött DNS-t használ
Két szintű támadási infrastruktúra
A támadás mögött komplex rendszer áll:
1️⃣ Célzott adatgyűjtés
- csak értékes célpontokra reagál
- e-mail szolgáltatásokat céloz
- minimalizálja az észlelhetőséget
2️⃣ Haladó megfigyelés
- DNS forgalmat továbbít más szerverekhez
- célzott műveleteket végez
- geopolitikai fókusz (pl. Ukrajna)
👉 Ez egyszerre tesz lehetővé:
- tömeges megfigyelést
- célzott kémkedést
Kiemelt célpont: e-mail rendszerek
A támadók különösen az alábbi szolgáltatásokat célozzák:
- Microsoft Outlook rendszerek
- outlook.office365.com
- outlook.live.com
- imap-mail.outlook.com
👉 cél:
hitelesítési adatok megszerzése
Korábbi támadások – nem új szereplő
Az APT28 korábban is aktív volt:
- 2015: német Bundestag hack
- 2018: vegyifegyver-tilalmi szervezet elleni támadás
- folyamatos célpontok:
- védelem
- logisztika
- technológia
👉 most új módszer: infrastruktúra szintű támadás
Miért nehéz észrevenni?
A DNS hijacking különösen veszélyes, mert:
- a hálózat mélyén történik
- a forgalom normálisnak tűnik
- a felhasználó semmit nem vesz észre
👉 sok áldozat csak később szembesül vele
Mire figyelj? (fertőzés jelei)
- szokatlan DNS beállítások
- ismeretlen IP címek
- gyanús bejelentkezések
- eltérő hálózati viselkedés
Hogyan védekezz?
🔴 Kritikus lépések:
- router admin felület védelme
- firmware frissítések telepítése
- ismert hibák javítása
🟡 További védelem:
- kétfaktoros hitelesítés (MFA)
- hálózati forgalom monitorozása
- DNS ellenőrzés
- behatolásészlelő rendszerek
👉 a router biztonság nem opcionális
Nagyobb kép: új kiberháborús stratégia
Ez a kampány egy fontos trendet mutat:
👉 a támadók már nem csak:
- számítógépeket
- szervereket
céloznak,
hanem:
👉 az internet alap infrastruktúráját
Összegzés
Az APT28 router alapú támadása:
- globális
- nehezen észlelhető
- rendkívül hatékony
👉 lehetővé teszi:
- tömeges adatgyűjtést
- célzott kémkedést
- hosszú távú hozzáférést
Ez egyértelmű jel:
a hálózati eszközök védelme ma már kritikus fontosságú.
