خنثی‌سازی عملیات جاسوسی سایبری روسیه در آمریکا؛ هزاران مودم خانگی هدف قرار گرفتند

نهادهای امنیتی و اطلاعاتی ایالات متحده از شناسایی و متلاشی کردن یک شبکه گسترده جاسوسی سایبری وابسته به آژانس اطلاعات نظامی روسیه (GRU) خبر دادند. در این عملیات پیچیده، هکرهای روسی موفق شده بودند با نفوذ به هزاران مودم و روتر خانگی و اداری در ۲۳ ایالت آمریکا، ترافیک اینترنتی کاربران را منحرف کرده و اطلاعات حساس آن‌ها را به سرقت ببرند. هرچند این شبکه با حکم دادگاه فدرال متلاشی شده، اما کارشناسان هشدار می‌دهند که رفع آسیب‌پذیری‌های ساختاری این دستگاه‌ها مستلزم اقدام فوری از سوی خود کاربران است.

بنا بر گزارش پلیس فدرال آمریکا (FBI) و آژانس امنیت ملی این کشور (NSA)، این حملات توسط یک گروه هکری شناخته‌شده به نام APT28 (مشهور به Fancy Bear یا Forest Blizzard) هدایت شده است؛ همان گروهی که پیش از این مسئولیت هک کمیته ملی حزب دموکرات آمریکا در سال ۲۰۱۶ و زنجیره‌ای از حملات علیه اهداف ناتو را بر عهده داشت.

هکرهای وابسته به مسکو با شناسایی روترهای کوچک خانگی و اداری (SOHO) که از نسخه‌های قدیمی نرم‌افزار (فریمور) استفاده می‌کردند یا رمز عبور پیش‌فرض کارخانه آن‌ها تغییر نکرده بود، به این دستگاه‌ها نفوذ کردند. بر اساس گزارش مایکروسافت، این عملیات از سال ۲۰۲۴ در جریان بوده و هکرها با تغییر تنظیمات شبکه (حمله از نوع DNS Hijacking)، ترافیک اینترنتی کاربران را بدون رمزنگاری رصد و اطلاعات حساس مربوط به نهادهای نظامی، دولتی و زیرساخت‌های حیاتی را جمع‌آوری می‌کردند.

مایکروسافت تایید کرده است که در این حمله بیش از ۲۰۰ سازمان بزرگ و ۵ هزار دستگاه خانگی آسیب دیده‌اند. مرکز ملی امنیت سایبری بریتانیا (NCSC) نیز با انتشار بیانیه‌ای، فهرستی از ۲۳ مدل از مودم‌های برند محبوب TP-Link را که هدف اصلی این حملات بوده‌اند، منتشر کرده است. سخنگوی شرکت TP-Link در پاسخ به این گزارش اعلام کرد که تمامی این مدل‌ها قدیمی بوده و سال‌هاست که از چرخه پشتیبانی و تولید خارج شده‌اند.

TP-Link LTE Wireless N Router MR6400 / MR3420

TP-Link Wireless Dual Band Gigabit Router Archer C5 / Archer C7

سری‌های تجاری و خانگی نظیر: WDR3600, WDR4300, WDR3500

مدل‌های پرکاربرد قدیمی مانند: WR840N, WR841N, WR841HP, WR740N, WR941ND (و سایر نسخه‌های هم‌خانواده)

کارشناسان امنیت سایبری تاکید می‌کنند که روترها دروازه ورود به شبکه شما هستند و تمام داده‌های دریافتی و ارسالی از این مسیر عبور می‌کنند؛ بنابراین رها کردن آن‌ها بدون تدابیر امنیتی، مانند باز گذاشتن درِ خانه است.

آژانس امنیت ملی آمریکا (NSA) و متخصصان شرکت فوراسکوت (Forescout) پنج راهکار کلیدی زیر را برای ایمن‌سازی مودم‌ها پیشنهاد داده‌اند:

تعویض دستگاه‌های فرسوده و به‌روزرسانی فریمور: اگر مودم شما جزو مدل‌های قدیمی و خارج از پشتیبانی است، در اولین فرصت آن را تعویض کنید. در غیر این صورت، حتما گزینه به‌روزرسانی خودکار را در تنظیمات مودم فعال کنید یا آخرین پچ امنیتی را از سایت سازنده دریافت نمایید.

تغییر نام کاربری و رمز عبور پیش‌فرض: هکرها با استفاده از بانک‌های اطلاعاتی، رمزهای پیش‌فرض کارخانه‌ای (مانند admin/admin) را به راحتی حدس می‌زنند. رمز عبور مدیریت مودم خود را به یک عبارت طولانی، پیچیده و تصادفی تغییر دهید. (این رمز با پسورد وای‌فای متفاوت است).

راه‌اندازی مجدد (Reboot) هفتگی: آژانس امنیت ملی آمریکا توصیه می‌کند مودم‌ها، گوشی‌های هوشمند و رایانه‌های خود را حداقل هفته‌ای یک‌بار خاموش و روشن کنید. این اقدام ساده باعث حذف بدافزارهای موقت مستقر در حافظه دستگاه می‌شود.

غیرفعال کردن دسترسی از راه دور (Remote Management): بیشتر کاربران نیازی به مدیریت مودم خود از خارج از خانه ندارند. فعال بودن این گزینه یکی از اصلی‌ترین راه‌های نفوذ هکرهاست؛ بنابراین آن را در بخش تنظیمات پیشرفته (Admin Settings) غیرفعال کنید.

استفاده از شبکه های خصوصی مجازی (VPN): اف‌بی‌آی به طور ویژه به سازمان‌هایی که کارکنان دورکار دارند توصیه کرده است که برای دسترسی به داده‌های حساس، حتما از بسترهای امن و رمزنگاری‌شده (VPN) استفاده کنند تا ترافیک اطلاعاتی آن‌ها از گزند هکرها در امان بماند.