Militer Rusia Retas Ribuan Router Konsumen di 120 Negara
Judul asli: Thousands of consumer routers hacked by Russia's military
Mengapa Ini Penting
Menunjukkan ancaman berkelanjutan terhadap infrastruktur siber global dari aktor negara
Militer Rusia meretas 18.000-40.000 router konsumen MikroTik dan TP-Link di 120 negara untuk mencuri kredensial login. Grup APT28 mengubah pengaturan DNS untuk mengarahkan pengguna ke server berbahaya yang merekam token OAuth.
Peneliti Lumen Technologies melaporkan grup ancaman APT28 dari intelijen militer Rusia (GRU) meretas router rumah dan kantor kecil dalam operasi spionase besar-besaran. Serangan dimulai Mei 2025 dengan jumlah terbatas, kemudian meningkat drastis Agustus setelah peringatan dari Pusat Keamanan Siber Nasional Inggris. Penyerang mengeksploitasi router lama yang tidak di-patch, mengubah pengaturan DNS untuk domain tertentu termasuk Microsoft 365. Ketika perangkat terhubung mengunjungi domain tersebut, koneksi dialihkan melalui server berbahaya dengan sertifikat self-signed. Server tersebut merekam semua lalu lintas termasuk token OAuth dan kredensial setelah pengguna menyelesaikan autentikasi multi-faktor. Dalam empat minggu mulai 12 Desember, Black Lotus mengamati lebih dari 290.000 alamat IP berbeda mengirim permintaan DNS ke server berbahaya.