APT28 взломала более 18 тыс. роутеров в 120 странах: ФБР повторно взломало устройства, чтобы собрать данные о хакерах

Пророссийскую хакерскую группировку APT28 обвинили во взломе более 18 тыс. маршрутизаторов — атака затронула устройства в более чем 120 странах. Как утверждается в заявлениях зарубежных правоохранительных органов и отчетах Microsoft Threat Intelligence и Black Lotus Labs, серия взломов, начатая еще в 2024 году, происходила с целью реализации разведывательной кампании. Чтобы выйти на злоумышленников, ФБР пошло на взлом уже скомпрометированных устройств собственных граждан.

Атаку связывают с группировкой APT28, также известной как Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear и Sednit. Исследователи связывают деятельность этой группировки с подразделением Главного разведывательного управления России.

Минюст США утверждает, что атакующие использовали известные уязвимости в маршрутизаторах TP-Link с 2024 года. Получив к ним доступ, они манипулировали их настройками и перенаправляли DNS-запросы на серверы, контролируемые группировкой. После этого они внедрили автоматизированный процесс фильтрации, чтобы определить, какие из запросов представляют интерес и заслуживают перехвата. Отмечается, что в руках APT28 оказались незашифрованные пароли, токены аутентификации, электронные устройства, а также другая конфиденциальная информация. 

Служба безопасности Украины заявляет, что собранная атакующими информация планировалась к использованию в последующих кибератаках, информационных диверсиях и сборе разведывательной информации. Отмечается, что особый интерес для атакующих представляла информация, которой обменивались сотрудники государственных органов, военнослужащие, подразделения ВСУ и предприятия оборонно-промышленного комплекса. 

По результатам совместной операции СБУ, ФБР и правоохранительных органов Евросоюза, утверждают в СБУ, удалось заблокировать более 100 серверов и вывести из-под контроля APT28 сотни роутеров «только в Украине».

Black Lotus Labs отмечала в своем отчете, что пик активности хакерской кампании пришелся на декабрь 2025 года. В этот период исследователи зафиксировали более 18 000 уникальных IP-адресов как минимум из 120 стран, взаимодействующих с инфраструктурой Forest Blizzard (одно из названий APT28). Как пишут исследователи, операции были в основном направлены на госучреждения, включая министерства иностранных дел, силовые структуры и поставщиков услуг электронной почты. 

Автор Telegram-канала «Кибервойна» Олег Шакиров отметил, что меры реагирования на инцидент различались между странами: Германия и Украина дали рекомендации владельцам роутеров о том, как необходимо проверить устройства и защитить их в будущем. В то же время ФБР отправило на скомпрометированные роутеры команды для сбора информации об активности взломщиков. «Проще говоря, федеральные агенты повторно взломали роутеры — только на законных основаниях и с благими намерениями», — писал Шакиров.

В комментарии SecPost Шакиров отметил: даже для США такие меры в отношении злоумышленников не то чтобы норма. ФБР действительно время от времени проводит такие операции, но они остаются редкостью.

«Пока другие страны не сообщали о таких же мероприятиях. В принципе, ближайшие союзники США могут попробовать перенять опыт, особенно если американцы их будут к этому подталкивать. Хотя пока мы этого не видели. Есть много причин вообще не делать этого — юридического, этического и практического характера», — считает эксперт.

Шакиров также отметил, что каждая страна использует свои возможности в борьбе с нарушителями. Он приводит пример массового дефейса сайтов на «Битриксе» в России в 2023 году. Тогда НКЦКИ и Роскомнадзор дали инструкции хостинг-провайдерам о том, как починить сайт. Те сайты, что не приняли меры, претерпели блокировку.

«Можно пофантазировать на тему того, что вместо этого можно было сделать программу, которая бы проникала на сайты через ту же уязвимость, что и злоумышленники, принудительно убирала дефейс и закрывала дыру. Взлом был массовым и, вероятно, автоматизированным, почему бы аналогичным образом не починить сайт?» — предполагает Шакиров.

Однако оснований для проведения «полезного» взлома с точки зрения закона тогда не было — нет их и сейчас, отмечает эксперт. Нет и опыта таких операций. Вероятно, владельцы взломанных сайтов были бы рады такой помощи.

«Но кто бы нёс ответственность, если бы сайт сломался? В общем, блокировки показались ответственным ведомствам гораздо более предсказуемым инструментом. А ответственность по восстановлению осталась на владельцах сайтов», — резюмирует Шакиров.

В конце марта 2026 года прошла серия атак на украинские государственные структуры через уязвимость в Zimbra, которую также связывали с APT28. SecPost писал, что атака отличалась от традиционных приемов фишинга — вредоносная нагрузка была встроена непосредственно в тело письма.