El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido emitió recientemente una alerta indicando que el grupo de hackers rusos APT28 (también conocido como "Fancy Bear") está lanzando ataques continuos contra routers con el objetivo de sustraer contraseñas y otra información sensible.
Se cree ampliamente que este grupo tiene vínculos con el Servicio de Inteligencia Militar de Rusia (GRU). Según el informe del NCSC, los hackers explotan vulnerabilidades en routers para pequeñas oficinas y hogares (SOHO) para manipular la configuración de los servidores DNS, redirigiendo así a las víctimas hacia sitios web maliciosos bajo su control.
Este método de ataque genera un efecto en cadena. Una vez alterada la configuración DNS, los dispositivos conectados a dicho router, como ordenadores portátiles y smartphones, heredan estos ajustes maliciosos, quedando expuestos a conexiones de red peligrosas.
Páginas de inicio de sesión falsas para capturar credenciales
APT28 suele interceptar las solicitudes de los usuarios a servicios comunes, como Outlook, y redirigirlas a páginas clonadas falsas. De este modo, las víctimas introducen sus credenciales legítimas sin saberlo, lo que resulta en el robo de sus cuentas.
El NCSC señaló específicamente a los routers TP-Link en su informe, y destacó que los dispositivos Cisco también han sido blanco de ataques similares anteriormente. Además, se ha detectado otra oleada de actividad dirigida a routers MikroTik; el NCSC estima que muchos de los afectados se encuentran en Ucrania, donde los hackers intentan recolectar inteligencia de valor militar a través de estos equipos.
Aunque este tipo de secuestro de DNS se ha visto durante años, el NCSC afirma que actualmente estos ataques tienen un carácter más oportunista que dirigido a objetivos específicos de alto valor. Paul Chichester, director de operaciones del NCSC, declaró: "Esta actividad demuestra cómo los hackers aprovechan las vulnerabilidades de equipos de red de uso generalizado para llevar a cabo operaciones hostiles sofisticadas".
Microsoft confirmó esta amenaza en un informe publicado de forma simultánea. La compañía señaló que APT28 (denominado Forest Blizzard en su nomenclatura) intenta obtener acceso a redes de grandes empresas controlando los routers de entidades de nivel superior. Hasta el momento, Microsoft estima que unos 200 organismos y 5.000 dispositivos han sido comprometidos en esta campaña de recolección de inteligencia.
