Russiske statshackere kaprer private routere: Sådan sikrer du dit netværk

Den står oftest gemt væk bag sofaen eller i et støvet hjørne af bryggerset. Din internetrouter. Den passer sig selv, og så længe der er hul igennem til Netflix, skænker de færreste den en tanke. Det er en skam. For lige nu er der en reel risiko for, at din router bruger sin fritid på at arbejde for det russiske militær.

En gruppe af russiske statshackere har kapret tusindvis af hjemmeroutere og routere i små virksomheder over hele verden. Målet er at omdirigere ofrenes internettrafik for at stjæle kodeord og aåkaldte adgangstokens. Gruppen bag angrebet er den berygtede hackergruppe Fancy Bear, også kendt som APT 28, der anses for at være en del af den russiske efterretningstjeneste GRU.

Forældet software er en åben dør til dit hjem

Angrebet er ikke sort magi. Det er solidt, opportunistisk håndværk. Hackerne har specifikt gået efter u-patchede routere fra producenter som MikroTik og TP-Link. Ved at udnytte tidligere offentliggjorte sårbarheder i forældet software, har de kunnet overtage enhederne uden ejernes viden.

Når hackerne først har foden indenfor, ændrer de routerens standardindstillinger, så alle DNS-forespørgsler (Domain Name System) sendes via servere, som hackerne kontrollerer. DNS-systemet er hele internettets telefonbog, og denne DNS-kapring gør det muligt for de russiske aktører at omdirigere intetanende brugere til falske hjemmesider. Herfra kan de stjæle adgangskoder og de tokens, der normalt lader dig logge ind, hvilket gør dem i stand til helt at omgå dine to-faktor-godkendelseskoder. Microsoft har i samme ombæring observeret, at gruppen bruger adgangen til at udføre såkaldte AiTM-angreb (Adversary-in-the-middle) mod sikre TLS-forbindelser for at opsnappe data.

Klippede forbindelsen til 5.800 vindmøller

Skalaen af angrebet er ikke til at tage fejl af. Microsoft har identificeret mere end 5.000 kompromitterede forbrugerenheder , mens sikkerhedsfirmaet Black Lotus Labs melder om mindst 18.000 ofre fordelt på omkring 120 lande.

At Fancy Bear interesserer sig for kritisk eller civil infrastruktur, er bestemt ikke nyt. Gruppen var også involveret i det særdeles destruktive hackerangreb mod satellitudbyderen Viasat i 2022, der fandt sted selvsamme dag, som Rusland invaderede Ukraine. Udover at lamme satellitnetværket over store dele af Europa, kappede angrebet også fjernadgangen til cirka 5.800 vindmøller i Tyskland. Dengang brugte de en ondsindet “wiper”-malware kaldet AcidRain, der ganske enkelt slettede data og gjorde modemer og routere permanent ubrugelige.

FBI rydder ikke op i din stue

Myndighederne har dog ikke siddet helt på hænderne. Det amerikanske justitsministerium og FBI har formået at forstyrre hacker-netværket. For de routere, der befandt sig på amerikansk jord, fjernstyrede FBI simpelthen enhederne for at rense dem og smække døren i for hackerne.

Men det betyder ikke, at du kan læne dig tilbage. Amerikanske myndigheder har nemlig ikke bemyndigelse (eller tid) til at rydde op i skandinaviske stuer. Er din router inficeret, eller blot sårbar, er det derfor udelukkende dit eget problem. Microsoft understreger i deres analyse netop risikoen ved hjemmeroutere, der ikke har en IT-afdeling i ryggen til at sørge for sikkerheden. Især fordi mange af os arbejder hjemmefra og dermed kan risikere at eksponere virksomhedsdata via en usikker privat router.

Så betragt dette som en venlig, men bestemt opfordring: Find din router. Log ind på den. Tryk på knappen til firmware-opdatering. Og har routeren stadig admin/admin, som henholdsvis brugernavn og adgangskode, så ret det nu! Inden du vander blomsterne og lufter hunden. Det tager kun fem minutter. Og det er unægtelig sjovere end at agere ufrivillig relæstation for russisk cyberspionage.