ФБР и Министерство юстиции США объявили о проведении масштабной операции против российской хакерской кампании, в рамках которой были взломаны тысячи домашних и офисных интернет-роутеров по всему миру, включая устройства в США. По данным американских властей, за атаками стоит подразделение российской военной разведки ГРУ, известное как APT28, Fancy Bear или Forest Blizzard.
Операция, получившая название Operation Masquerade, была проведена по решению суда в апреле 2026 года. Следствие утверждает, что российские хакеры использовали уязвимости в популярных роутерах TP-Link, прежде всего модели WR841N, чтобы получать доступ к интернет-трафику пользователей.
По данным ФБР, злоумышленники меняли DNS-настройки устройств, что позволяло перенаправлять пользователей на поддельные страницы входа в сервисы, включая Microsoft Outlook Web Access. Таким образом хакеры могли перехватывать пароли, токены авторизации, электронную переписку и другую конфиденциальную информацию.
Американские власти заявили, что были скомпрометированы более 18 тысяч устройств в 120 странах, включая 23 штата США. Целями атак, по версии следствия, были военные структуры, государственные учреждения и объекты критической инфраструктуры.
В рамках операции ФБР получило судебное разрешение на удалённый доступ к заражённым роутерам на территории США. Агентство отключило доступ российских хакеров к устройствам, изменило вредоносные DNS-настройки и собрало доказательства деятельности злоумышленников. При этом ФБР утверждает, что не получало доступ к личному содержимому пользователей.
Федеральные агентства США, включая ФБР, АНБ и Агентство по кибербезопасности CISA, призвали владельцев роутеров TP-Link срочно обновить прошивку устройств, сменить пароли администратора, отключить удалённый доступ и заменить устаревшие модели, которые больше не получают обновлений безопасности.
Также пользователям рекомендовано проверять DNS-настройки роутеров и внимательно относиться к предупреждениям браузеров о проблемах с сертификатами безопасности. Некоторые американские интернет-провайдеры уже начали рассылать клиентам уведомления о возможной угрозе.
