תארו לכם שהראוטר שלכם בבית הוא כמו שומר בכניסה לבניין. עכשיו תארו לכם שמישהו פרץ לו את המנעול, שינה את ההוראות שלו בלי שאתם יודעים, ואז פשוט הפנה את כל מי שנכנס ישר לדלת אחרת. זה בדיוק הרעיון מאחורי קמפיין הפריצה האחרון שמערב האקרים רוסים.
קבוצת האקרים שמקושרת למודיעין הרוסי, Fancy Bear או APT28, ביצעה חדירה לאלפי ראוטרים ביתיים וראוטרים לעסקים קטנים ברחבי העולם כדי לגנוב סיסמאות וטוקנים. המטרה לא הייתה רק “לראות מה יש לך”, אלא ממש להשתחל לחשבונות שלך אחרי שתזדהה, בלי שתצטרך את קוד האימות הדו-שלבי.
מה הם עשו לראוטר?
הם ניצלו פרצות בראוטרים של חברות כמו MikroTik ו-TP-Link, בעיקר בדגמים שלא עודכנו. בגלל שהמכשירים האלה רצים על תוכנה ישנה, קל יותר לבצע תקיפה מרחוק בלי שהבעלים ירגישו. החוקרים מעריכים שהקמפיין הזה נמשך כמה שנים, ובמהלכן האקרים הצליחו “להציץ” על מספר גדול של אנשים דרך הראוטרים שלהם.
ברמת הטכניקה: אחרי שהאקרים השתלטו על הראוטר, הם שינו את ההגדרות שלו כך שבקשות האינטרנט שלכם לא יגיעו ליעד שביקשתם. בפועל, הראוטר “מכוון” את התעבורה לתשתיות שמנוהלות על ידי התוקפים.
הטריק הגדול: אתרים מזויפים וגניבת גישה
כשהמערכת שלכם מנסה להתחבר לשירותים כמו מייל או פלטפורמות שונות, האקרים יכולים להציג אתרים מזויפים תחת שליטה שלהם. התוצאה: אתם מזינים סיסמה, הם אוספים אותה. אבל זה לא נגמר שם.
הם גם גונבים טוקנים שמאפשרים להיכנס לחשבון בלי לחכות לקוד אימות דו-שלבי. במילים פשוטות: גם אם הפעלתם 2FA, הגניבה של הטוקן יכולה לאפשר כניסה “כמו שאתם”, בלי שתופיע לכם בקשה לקוד.
כמה נפגעו?
המעבדה שחשפה פרטים נוספים העריכה ש-Fancy Bear הצליחו לפגוע לפחות ב18,000 קורבנות בבערך 120 מדינות. בין הנפגעים היו גופים ממשלתיים, רשויות אכיפת חוק וספקי דוא"ל. מבחינה גיאוגרפית, זה כלל אזורים כמו צפון אפריקה, מרכז אמריקה ודרום מזרח אסיה.
מה עושים עכשיו?
חברות אבטחה וגופי ממשל כבר נוקטים צעדים. מיקרוסופט עדכנה שיש לה זיהוי של יותר מ-200 ארגונים ועוד כ-5,000 מכשירי צרכנים שנפגעו מהמהלך הזה, כולל לפחות כמה ארגונים ממשלתיים באפריקה.
במקביל, גורמי אכיפה צפויים לפרסם השבתה של דומיינים ששימשו את התוקפים. גם נמסר שהייתה פעולה משותפת שכללה גורמים כמו FBI, שהורידה לאוויר את רשת השליטה (בוטנט) והוציאה אותה משימוש.
הלקח הכי חשוב: לעדכן ראוטר זה לא “פעם ב-2030”
אם יש כאן מסר אחד ברור, הוא לא דרמטי אבל הוא קריטי: ראוטרים הם יעד, לא רק קופסה שעושה אינטרנט. עדכוני קושחה (Firmware) יכולים להיות ההבדל בין “הכל עובד” לבין “למה מישהו נכנס לי לחשבון כאילו אני”. אז תבדקו דגמים, תעדכנו, ואם אפשר גם להקשיח הגדרות ולנטר חריגות.
זה לא רק סיפור של האקרים. זה שיעור קטן על איך עולם האינטרנט עובד: מי ששולט בשער, יכול להחליט לאן אתה הולך.
