Ida Hansson
Tusentals internetanvändare kan ha övervakats utan att veta om det.
Bakom attackerna finns en välkänd hackergrupp med koppling till rysk underrättelsetjänst.
Nu varnar myndigheter för en metod som utnyttjar något många tar för givet i hemmet.
Breddad attack
Brittiska cybersäkerhetsmyndigheten NCSC och forskare vid Black Lotus Labs har upptäckt att hackare riktat in sig på vanliga routrar i hem och småföretag, rapporterar TechCrunch.
Genom att utnyttja kända säkerhetsbrister i modeller från bland annat MikroTik och TP-Link har angriparna kunnat ta kontroll över enheterna.
Många av dessa kör äldre mjukvara, vilket gör dem extra sårbara.
Enligt forskarna har attackerna pågått under flera år och drabbat användare i ett stort antal länder.
Trafiken kapas
Metoden är förhållandevis avancerad men effektiv i praktiken.
Hackarna ändrar inställningar i routern så att internettrafiken i hemlighet leds via deras egna servrar. Det gör att användare kan skickas vidare till falska webbplatser som ser äkta ut.
Där kan inloggningsuppgifter och så kallade access-token fångas upp, vilket i vissa fall gör det möjligt att ta sig in på konton utan att behöva kringgå tvåfaktorsautentisering.
Tusentals drabbade
Minst 18 000 enheter i omkring 120 länder ska ha komprometterats, enligt Black Lotus Labs uppgifter som återges av TechCrunch.
Bland de drabbade finns både privatpersoner och organisationer, inklusive myndigheter och rättsväsende i delar av Afrika, Centralamerika och Sydostasien.
Microsoft uppger samtidigt att över 200 organisationer och tusentals konsumentenheter identifierats i samma kampanj.
Kopplas till GRU
Bakom attackerna pekas hackergruppen Fancy Bear ut, även känd som APT28.
Gruppen har tidigare kopplats till flera uppmärksammade cyberangrepp och anses ha band till den ryska militära underrättelsetjänsten GRU. Den har bland annat anklagats för intrånget mot Demokratiska partiet i USA 2016 och attacken mot satellitbolaget Viasat 2022.
Motåtgärder pågår
Amerikanska myndigheter har nu agerat för att stoppa delar av operationen.
USA:s justitiedepartement uppger att FBI, med stöd av domstolsbeslut, har skickat kommandon till infekterade routrar i landet för att säkra bevis, återställa inställningar och blockera fortsatt åtkomst.
Samtidigt har flera domäner kopplade till nätverket stängts ner i samarbete med internationella aktörer.
