Ryska statliga hackare kapar privata routrar: Så här skyddar du ditt nätverk

Den står oftast gömd bakom soffan eller i ett dammigt hörn av tvättstugan. Din internetrouter. Den sköter sig själv, och så länge det går att komma åt Netflix tänker de flesta knappt på den. Det är synd. För just nu finns det en reell risk att din router använder sin fritid till att arbeta för den ryska militären.

En grupp ryska statliga hackare har kapade tusentals hemroutrar och routrar i småföretag över hela världen. Målet är att omdirigera offrens internettrafik för att stjäla lösenord och så kallade åtkomsttokens. Gruppen bakom attacken är den ökända hackergruppen Fancy Bear, även kända som APT 28, som anses vara en del av den ryska underrättelsetjänsten GRU.

Föråldrad programvara är en öppen dörr till ditt hem

Attacken är ingen svart magi. Det är gediget, opportunistiskt hantverk. Hackarna har specifikt riktat in sig på routrar utan säkerhetsuppdateringar från tillverkare som MikroTik och TP-Link. Genom att utnyttja tidigare offentliggjorda sårbarheter i föråldrad programvara har de kunnat ta över enheterna utan ägarnas vetskap.

När hackarna väl har fått in en fot ändrar de routerns standardinställningar så att alla DNS-förfrågningar (Domain Name System) skickas via servrar som hackarna kontrollerar. DNS-systemet är hela internets telefonkatalog, och denna DNS-kapning gör det möjligt för de ryska aktörerna att omdirigera ovetande användare till falska webbplatser. Härifrån kan de stjäla lösenord och de tokens som normalt låter dig logga in, vilket gör dem i stånd att helt kringgå dina tvåfaktorsautentiseringskoder. Microsoft har samtidigt observerat att gruppen använder åtkomsten för att utföra så kallade AiTM-attacker (Adversary-in-the-middle) mot säkra TLS-anslutningar för att snappa upp data.

Klippte anslutningen till 5 800 vindkraftverk

Omfattningen av attacken är uppenbar. Microsoft har identifierat fler än 5 000 komprometterade konsumentenheter, medan säkerhetsföretaget Black Lotus Labs rapporterar om minst 18 000 offer fördelade på cirka 120 länder.

Att Fancy Bear intresserar sig för kritisk eller civil infrastruktur är definitivt inget nytt. Gruppen var också inblandad i det ytterst destruktiva hackerangreppet mot satellitleverantören Viasat 2022, som ägde rum samma dag som Ryssland invaderade Ukraina. Förutom att lamslå satellitnätverket över stora delar av Europa, avbröt angreppet även fjärråtkomsten till cirka 5 800 vindkraftverk i Tyskland. Då använde de en skadlig ”wiper”-malware kallad AcidRain, som helt enkelt raderade data och gjorde modem och routrar permanent obrukbara.

FBI städar inte upp i ditt vardagsrum

Myndigheterna har dock inte suttit helt med armarna i kors. Det amerikanska justitiedepartementet och FBI har lyckats störa hackernätverket. För de routrar som befann sig på amerikansk mark fjärrstyrde FBI helt enkelt enheterna för att rensa dem och stänga dörren för hackarna.

Men det betyder inte att du kan luta dig tillbaka. Amerikanska myndigheter har nämligen inte befogenhet (eller tid) att städa upp i skandinaviska vardagsrum. Om din router är infekterad, eller bara sårbar, är det därför uteslutande ditt eget problem. Microsoft betonar i sin analys just risken med hemroutrar som inte har en IT-avdelning i ryggen som kan sköta säkerheten. Särskilt eftersom många av oss arbetar hemifrån och därmed riskerar att exponera företagsdata via en osäker privat router.

Så betrakta detta som en vänlig men bestämd uppmaning: Hitta din router. Logga in på den. Tryck på knappen för firmwareuppdatering. Och om routern fortfarande har admin/admin som användarnamn respektive lösenord, så ändra det nu! Innan du vattnar blommorna och rastar hunden. Det tar bara fem minuter. Och det är onekligen roligare än att fungera som en ofrivillig relästation för rysk cyberspionage.