สำนักงานสืบสวนกลาง (FBI) สำนักความมั่นคงแห่งชาติ (NSA) กองบัญชาการไซเบอร์ (CYBERCOM) ของสหรัฐอเมริกา ร่วมกับหน่วยบังคับใช้กฎหมายของเบลเยียม บราซิล ฝรั่งเศส เยอรมนี ลัตเวีย ลิทัวเนีย นอร์เวย์ โปแลนด์ เกาหลีใต้ และสหราชอาณาจักร ออกคำเตือนแฮกเกอร์รัสเซียที่มุ่งโจมตีเราเตอร์ทั่วโลก

ใจความในประกาศคำเตือนระบุว่า APT28 (หรือรู้จักในชื่อ Fancy Bear และ Forest Blizzard) ได้ใช้เราเตอร์ EdgeRouters ทั่วโลกที่แฮกมาได้เพื่อทำการเจาะหารหัสผ่าน ส่งการจราจรผ่าน Proxy และการโจมตีฟิชชิ่งแบบเจาะจงเป้าหมาย

เป้าหมายหลักกระจายทั่วโลกตะวันตก และตะวันออกกลาง ไม่ว่าจะเป็นเช็กเกีย อิตาลี ลิทัวเนีย ยูเครน ตุรกี และจอร์แดน โดยมีกรณีของบุคคลในยูเครนที่ถูกเจาะเป้าหมายเชิงยุทธศาสตร์ด้วย

เหตุที่ EdgeRouters หลายตัวถูกเจาะเข้าไปได้ เพราะเจ้าของส่วนใหญ่ไม่ได้เปลี่ยนรหัสผ่านที่เป็นการตั้งค่ามาจากโรงงาน ทำให้แฮกเกอร์เจาะเข้าไปใช้งานระบบแอดมินได้ จากนั้นจะทำการติดตั้ง Moobot บอตเน็ตที่จะปล่อยโทรจันในชื่อ OpenSSH ลงไปยังเราเตอร์ เพื่อควบคุมให้ทำการโจมตีตามสั่งต่อไป

ทั้งนี้ กระทรวงยุติธรรมสหรัฐฯ (DOJ) และองค์กรพันธมิตรสามารถทลายบอตเนตของ APT28 ที่ใช้ EdgeRouters ได้เมื่อเร็ว ๆ นี้ แต่ DOJ แนะนำให้เจ้าของฮาร์ดแวร์ทำการตั้งค่ารีเซตโรงงาน อัปเดตเฟิร์มแวร์ และเปลี่ยนรหัสผ่าน

ผู้เชี่ยวชาญเชื่อว่า APT28 อยู่ภายใต้การสั่งการของหน่วยข่าวกรองทหารของรัสเซีย (GRU) ที่เน้นโจมตีหน่วยงานรัฐบาล และองค์กรเอกชนทั่วโลกในสายการทหาร โทรคมนาคม และโครงสร้างพื้นฐานมาตั้งแต่ปี 2022