Prieš savaitę JAV Federalinis tyrimų biuras, Nacionalinio saugumo agentūra ir daugiau nei 15 šalių, tarp jų ir Lietuva, paskelbė oficialų įspėjimą – Rusijos karinės žvalgybos grupė APT28 jau dvejus metus sistemingai vykdo plataus masto atakas, nukreiptas į pažeidžiamus maršrutizatorius visame pasaulyje. Pasak „Cgates“ Infrastruktūros departamento direktoriaus Mindaugo Sikorskio, tokie koordinuoti perspėjimai pasitaiko retai, o kai paviešinami, tai reiškia viena – grėsmė yra didelė.
Asociatyvi „Pixabay“ nuotr.
Kas vyksta?
„Hibridinis karas neprasideda raketomis – tai realybė, kurioje dabar gyvename ir kurią patvirtina paskutinė didelė tarptautinė Rusijos koordinuota kibernetinė ataka. APT28, dar žinoma „Fancy Bear“ vardu, yra Rusijos karinės žvalgybos GRU finansuojama ir valdoma kibernetinių įsilaužėlių grupė, kurios tikslas – rinkti žvalgybos duomenis, trikdyti kritinę infrastruktūrą ir ruošti dirvą galimoms atakoms. Šiai grupei priskiriami įsilaužimai į Vokietijos parlamentą, Prancūzijos rinkimų ir daugybės kitų NATO šalių institucijų sistemas, o dabar jų taikiniu tapo namų interneto maršrutizatoriai. Veikimo schema paprasta – įsilaužėliai suranda pažeidžiamą įrenginį (dažniausiai seną ar neatnaujintą maršrutizatorių) ir nuotoliu pakeičia jo nustatymus. Nuo to momento slaptažodžiai, prisijungimai prie elektroninio pašto, darbo sistemų, banko ir valstybinių paslaugų duomenys gali būti nukreipiami į Rusijos žvalgybos kontroliuojamus serverius“, – veikimo būdą atskleidžia M. Sikorskis.
Kaip pastebi „Cgates“ Infrastruktūros departamento direktorius, ši ataka pavojinga tuo, kad kenkėjiški veiksmai yra nematomi. Dauguma kibernetinių grėsmių palieka pėdsakus: antivirusinė programa praneša apie įtartiną failą, interneto naršyklė įspėja apie nesaugų puslapį, o kenkėjiškas laiškas atsiduria elektroninio pašto šlamšto aplanke, tačiau šios atakos atveju nėra jokio signalo ar įspėjimo, nes maršrutizatorius veikia kaip įprastai, tik duomenų srautas tyliai keliauja ne ten, kur turėtų.
„Dar svarbiau tai, kad užgrobtas maršrutizatorius ne visada naudojamas iš karto – jis gali „miegoti“ mėnesius ir būti suaktyvintas krizės metu, kaip atspirties taškas platesnėms atakoms prieš valstybines institucijas, gynybos įmones ir kritinę infrastruktūrą koordinuoti bei dezinformacijai iš patikimo adreso platinti. Be to, užgrobtas maršrutizatorius automatiškai paveikia visus prie jo prijungtus įrenginius – telefoną, kompiuterį ar planšetę, kurių duomenys nuo prisijungimo momento gali keliauti per Rusijos karinės žvalgybos serverius. Kitaip tariant, kiekvienas pažeidžiamas namų maršrutizatorius yra potencialus Rusijos Trojos arklys, apie kurį jo savininkas net nenujaučia“, – kuo pavojinga ši ataka, pasakoja M. Sikorskis.
Pasak jo, 2025 metų gruodį tyrėjai nustatė, kad daugiau nei 18 tūkst. unikalių IP adresų iš 120 šalių buvo sujungta su Rusijos karinės žvalgybos serveriais. Kai kurių kibernetinio saugumo tyrėjų vertinimu, tarp NATO šalių didžiausia užgrobtų įrenginių koncentracija užfiksuota Lenkijoje, Estijoje ir Lietuvoje – šalyse, kurios dėl geografinės padėties ir narystės Aljanse nuolat patenka į Rusijos žvalgybos prioritetinių taikinių sąrašą.
3 žingsnių programa, kaip apsisaugoti
„Daugelis galvoja, kad programišiai taikosi į bankus, įmones ar politikus, bet ne į paprastą namų vartotoją, tačiau pavyzdžiai rodo, kad APT28 neieško konkrečių aukų – ši grupuotė skenuoja viską iš eilės, ieškodama saugumo spragų. Ir čia svarbus kitas klausimas – kaip dažnai pagalvojate apie savo maršrutizatorių? Ne apie interneto greitį, ne apie silpną Wi-Fi signalą, o apie patį įrenginį? Manau, kad retai, o gal po jo įsigijimo ir niekada. Telefoną dažnas keičia kas dvejus-trejus metus, kompiuterį – kas penkerius, o maršrutizatorius stovi spintelėje tol, kol veikia, tačiau kaip tik tokie – seni, neatnaujinti, su gamykliniais slaptažodžiais – yra pirmasis APT28 taikinys. Tai tarsi palikti namų raktą po kilimėliu – visi vagys žino, kur pirmiausia ieškoti“, – kodėl maršrutizatoriai tapo kibernetinių atakų taikiniu, pasakoja M. Sikorskis.
Norint apsisaugoti nuo galimų grėsmių, „Cgates“ saugumo ekspertas rekomenduoja šią trijų žingsnių programą:
Patikrinkite savo įrenginį. Pirmiausia sužinokite, koks maršrutizatoriaus modelis stovi jūsų namuose ir ar jis nepatenka į pažeidžiamų įrenginių sąrašą. Oficialus TP-Link modelių, kuriuos APT28 aktyviai naudojo atakoms, sąrašas skelbiamas adresu ic3.gov/PSA/2026/PSA260407. Jei jūsų modelis patenka į pažeidžiamų sąrašą ir gamintojas jo aptarnavimo jau nebepalaiko – laikas keisti įrenginį į naują.
„Kai kurie galvoja, kad sutaupys neimdami maršrutizatoriaus iš interneto tiekėjo ir įsigyja jį patys parduotuvėje, ir iš tiesų, pradinė kaina gali būti mažesnė, tačiau ji neatperka kitų dalykų – reikia pačiam sekti atnaujinimus, tikrinti saugumo spragas ir keisti nustatymus. Kitaip tariant, nuosavos įrangos priežiūra reikalauja laiko ir žinių, tad už tą kainos skirtumą interneto tiekėjas šiuos rūpesčius perims ant savo pečių ir jums tuo rūpintis nebereikės. Pavyzdžiui, mes nuolat konsultuojamės su maršrutizatorių gamintojais ir daug investuojame į programines sistemas, kurios neleidžia programišiams perimti jų valdymo, todėl „Cgates“ tiekiamų įrenginių Rusijos žvalgybos taikinių sąraše nėra. Deja, to savarankiškai parduotuvėse pirkti maršrutizatoriai užtikrinti negali“, – skirtumus vardija M. Sikorskis.
Pakeiskite gamyklinį slaptažodį. Gamyklinis slaptažodis dažnai būna toks pat visiems tos serijos įrenginiams, todėl programišiui jo ieškoti nereikia – jis tiesiog jį žino. Prisijungti prie maršrutizatoriaus valdymo puslapio galima per naršyklę – dažniausiai įvedus 192.168.1.1 arba 192.168.0.1, o tikslus adresas nurodytas ant įrenginio etiketės arba instrukcijoje. Naujas slaptažodis turi būti unikalus ir nenaudojamas niekur kitur. Tuo pačiu M. Sikorskis pataria išjungti ir nuotolinio valdymo funkciją, kuri daugelyje įrenginių yra įjungta pagal nutylėjimą – palikta įjungta, ji veikia kaip atviras langas į interneto tinklą.
Atnaujinkite programinę įrangą. „Maršrutizatoriaus programinę įrangą reikia atnaujinti taip pat, kaip telefono ar kompiuterio – valdymo skydelyje ieškokite skilties „Firmware“ arba „Software update“. Jei įrenginys jau nebegauna gamintojo saugumo atnaujinimų, jis turėtų būti laikomas nesaugiu – tokiu atveju verta pagalvoti apie pakeitimą nauju. Tikiuosi, kad ši Rusijos programišių ataka daugumai bus impulsas kritiškiau vertinti maršrutizatorių ir jo saugumą, nes tai vartai į kiekvieną namuose prijungtą įrenginį, kiekvieną duomenų paketą ir puiki prieiga prie jūsų jautrių duomenų. Jei šie vartai neapsaugoti, visos kitos apsaugos priemonės tampa antraeilėmis“, – pataria M. Sikorskis.
