Un advertiment conjunt emès per organismes de seguretat d’Alemanya, els Estats Units i el Regne Unit ha posat el focus en una nova onada de ciberatacs vinculats a actors estatals russos mitjançant encaminadors vulnerables.

El grup APT28, associat al GRU rus (intel·ligència militar), ha aprofitat debilitats en els encaminadors TP-Link antics per infiltrar-se a xarxes de tot el món.

L’objectiu principal és recopilar informació delicada relacionada amb governs, infraestructures crítiques i entorns militars.

L’Oficina Federal per a la Protecció de la Constitució alemanya (BfV) lidera aquest avís, amb el suport d’agències com ara l’FBI o el Centre Nacional de Seguretat Cibernètica britànic (NCSC).

L’amenaça no té com a objectiu un país concret, sinó que afecta múltiples regions, incloent-hi Europa de l’Est, països nòrdics i Amèrica del Nord.

Com funciona l’atac: segrest del DNS i robatori de credencials

El mètode utilitzat per APT28 es basa en el segrest del sistema de noms de domini, conegut com a DNS. Aquest sistema actua com una mena de guia que tradueix adreces web en adreces IP.

Quan els atacants comprometen aquest procés, poden redirigir el trànsit dels usuaris sense que aquests ho percebin.

A la pràctica, això permet interceptar dades clau com credencials d’accés, contrasenyes o testimonis (tokens) d’autenticació.

Els usuaris creuen que estan accedint a serveis legítims, però en realitat estan introduint la seva informació en plataformes controlades pels atacants. Aquest tipus de tècnica és especialment perillosa en entorns corporatius o institucionals.

Milers de dispositius afectats arreu del món

Les investigacions apunten que diversos milers d’encaminadors han estat compromesos a nivell global.

En el cas d’Alemanya, s’han identificat uns 30 dispositius vulnerables, alguns dels quals ja han confirmat intrusions reals.

El factor clau en aquests atacs és l’ús de maquinari obsolet o mal configurat. Molts d’aquests encaminadors no disposen d’actualitzacions de seguretat recents, la qual cosa els converteix en un punt d’entrada ideal per a actors maliciosos.

L’exposició directa a Internet d’aquests dispositius incrementa encara més el risc.

Infraestructures crítiques al punt de mira

Els sectors més delicats, agrupats sota el terme Kritis a Alemanya, són els objectius principals d’aquesta campanya. Això inclou àrees com ara energia, transport, telecomunicacions, sanitat, aigua o alimentació.

L’interès estratègic d’aquests atacs no és casual. Accedir a aquest tipus d’infraestructures permet obtenir informació valuosa, però també obre la porta a possibles sabotatges o interrupcions de serveis essencials.

Antecedents del grup APT28

APT28, també conegut com a Fancy Bear, no és un actor nou al panorama de la ciberseguretat.

Se li atribueixen operacions d’alt impacte els últims anys, com l’atac al Bundestag alemany el 2015, incidents contra el partit SPD el 2023 o accions dirigides al control del trànsit aeri el 2024.

Aquest historial confirma un patró constant i orientat a objectius estratègics. A més, la capacitat per adaptar-se a noves vulnerabilitats demostra un alt nivell tècnic i una clara vinculació amb interessos estatals.

Les autoritats alemanyes han iniciat campanyes de conscienciació adreçades a operadors de xarxes per mitigar l’impacte d’aquests atacs.  Entre les mesures recomanades s’inclouen la substitució d’encaminadors antics, l’actualització de microprogramari i la revisió de configuracions de seguretat. I és clar, la cooperació internacional també hi juga un paper clau, perquè permet compartir intel·ligència i millorar la capacitat de resposta.