Исследователи безопасности и государственные органы сообщили, что хакеры использовали известные уязвимости в роутерах MikroTik и TP‑Link. Большинство устройств не получали обновлений. После изменения настроек трафик жертв перенаправлялся на серверы преступников, где пользователи попадали на поддельные сайты и теряли учётные данные.
Объём атаки
По данным Black Lotus Labs, в кампании участвуют более 18 000 жертв в около 120 странах, включая правительственные учреждения и провайдеров электронной почты. Microsoft сообщила о более 5 000 пострадавших потребительских устройств и 200 затронутых организациях.
Ответные меры
ФБР совместно с подрядчиками, в том числе Lumen, отключили домены ботнета. Министерство юстиции США получило судовое разрешение на нейтрализацию скомпрометированных роутеров в США, отправив команды для сбора доказательств и сброса настроек, что предотвратило повторный доступ злоумышленников.