サイバーセキュリティー専門家らは４月７日、ロシアの国策ハッキング集団が世界各国の家庭用および小企業向けルーターを乗っ取り、標的のインターネット通信を改ざんして認証語やアクセス・トークンを窃取する大規模侵入作戦を展開している、と注意喚起した。

テッククランチ誌によると、それらの攻撃は、ファンシー・ベア（Fancy Bear）、別名APT28による最新の犯行だ。ファンシー・ベアは、2016年の米民主党全国委員会への侵入や、2022年に人工衛星通信会社ヴァイアサット（Viasat）を破壊的に攻撃したことで知られる。同集団は、ロシア軍参謀本部情報総局（GRU）に所属するとみられる。

英政府の国家サイバーセキュリティー・センター（NCSC）と、ルーメン（Lumen、ルイジアナ州モンロー拠点）の研究部門ブラック・ロータス・ラブス（Black Lotus Labs）は、ハッカーらがマイクロティック（MicroTik）やTPリンク（TP-Link）製ルーターの既知の脆弱性を悪用し、未更新の機器を標的にしていると報告した。

研究者たちによると、それらの多くのルーターは旧式ソフトウェアのまま放置されており、所有者が気づかないまま数年にわたって遠隔侵入を許し、大量の利用者通信が傍受された。NCSCはそれらの攻撃について、「広範に網を投げたあとに、情報価値の高い標的に絞り込む作戦」と分析している。

ハッカーらはロシア政府の指示のもと、標的のルーター設定を書き換え、ハッカー自身が管理するサーバーに標的のインターネット通信をひそかに転送している。ハッカーらはそれによって標的を偽装サイトへ誘導し、認証語やアクセス・トークンを盗み取り、２要素認証なしで標的のオンライン・アカウントに侵入できる状態をつくり出した。

ブラック・ロータス・ラブスは、ファンシー・ベアが約120ヵ国で少なくとも１万8000台のルーターを侵害したと報告した。ブラック・ロータス・ラブスによると、それらのなかには政府機関や法執行機関、電子メール・サービス会社らが含まれる。

マイクロソフト（Microsoft）も同日に、200以上の組織と5000台以上の消費者向けルーターがファンシー・ベアによる攻撃の影響を受け、アフリカでは少なくとも三つの政府機関が被害に遭ったと公表した。

米連邦捜査局（FBI）は、攻撃に使われた複数のドメインを停止したとみられる。ルーメンは、FBIを含む連合側がファンシー・ベアのボットネットを無力化したと説明した。

（Gaean International Strategies, llc社提供）