Brytyjscy urzędnicy ds. bezpieczeństwa ustalili, że grupa powiązana z rosyjskim wojskiem szpieguje użytkowników zainfekowanych routerów typu SOHO (Small Office/Home Office) w ramach szeroko zakrojonej kampanii cyber-szpiegowskiej. Na blogu firmy Microsoft omówiono techniczne szczegóły tych ataków.
Grupa, którą będziemy nazywać APT28, znana jest również pod takimi nazwami jak Fancy Bear, BlueDelta i Forest Blizzard. Zmienia ona ustawienia DNS zainfekowanych routerów, tak aby ruch sieciowy był kierowany przez serwery pozostające pod jej kontrolą, co pozwala APT28 na szpiegowanie użytkowników.
System nazw domenowych (DNS) służy do lokalizowania nazw domen internetowych i przekształcania ich na adresy protokołu internetowego (IP). Urządzenia zazwyczaj pobierają ustawienia sieciowe z routerów za pomocą protokołu DHCP (Dynamic Host Configuration Protocol).
Jeśli osoba atakująca zdoła manipulować ustawieniami DNS routera, może w sposób niezauważalny przekierowywać ruch przez infrastrukturę, którą kontroluje, pozyskiwać dane logowania, a w niektórych przypadkach wstawiać się pomiędzy użytkownika a rzeczywistą usługę. Dlatego kampania ta może sprzyjać kradzieży danych uwierzytelniających, a nawet ukierunkowanemu przechwytywaniu ruchu w usłudze Microsoft 365 i innych usługach w chmurze.
W komunikacie informacyjnym FBI podano, że APT28:
„…wykradł hasła, tokeny uwierzytelniające oraz poufne dane, w tym wiadomości e-mail i informacje dotyczące przeglądania stron internetowych, które zazwyczaj są chronione szyfrowaniem SSL (Secure Socket Layer) i TLS (Transport Layer Security).”
FBI twierdzi, że grupa ta rozpostarła szerokie sieci w Stanach Zjednoczonych i na całym świecie, a następnie zawęziła krąg swoich ofiar do osób mających dostęp do informacji dotyczących wojska, administracji rządowej i infrastruktury krytycznej.
W komunikacie NCSC wskazano konkretny model routera TP-Link (WR841N) z znaną luką w zabezpieczeniach, która umożliwia nieautoryzowanemu atakującemu uzyskanie informacji, takich jak nazwy użytkowników i hasła, za pomocą specjalnie spreparowanych żądań HTTP GET. Model ten jest powszechnie sprzedawany konsumentom i małym firmom i zazwyczaj nie jest stosowany jako standardowe wyposażenie przez głównych dostawców usług internetowych. Artykuł zawiera również obszerną, choć nie wyczerpującą listę innych modeli routerów TP-Link, które stały się celem grupy APT28.
Zespół Microsoft Threat Intelligence poinformował, że zidentyfikował ponad 200 organizacji i 5 000 urządzeń konsumenckich, na które wpłynęła złośliwa infrastruktura DNS grupy Forest Blizzard.
Debata na temat zakazu routerów
Kilka tygodni temu odnieśliśmy się do decyzji FCC, która w praktyce uniemożliwia import routerów wyprodukowanych za granicą, chyba że ich producenci uzyskają zwolnienie z tego wymogu, ze względu na to,co FCC określiła jako„niedopuszczalne zagrożenie dla bezpieczeństwa narodowego Stanów Zjednoczonych lub bezpieczeństwa obywateli amerykańskich”.
Działania grupy APT28 pokazują, jakiego rodzaju zagrożenia stara się powstrzymać FCC, ale jednocześnie potwierdzają nasz argument: choć debata na temat zakazów dotyczących routerów i ograniczeń w łańcuchu dostaw często skupia się na pochodzeniu krajowym, ważniejsze jest to, czy urządzenia te są w praktyce bezpieczne. Jeśli router ma słabe ustawienia domyślne, kiepską obsługę aktualizacji lub skomplikowany proces konfiguracji, staje się celem ataku niezależnie od tego, gdzie został wyprodukowany. Atakujący nie potrzebują perfekcji. Potrzebują jedynie wystarczającej liczby narażonych urządzeń, aby zbudować dużą, cichą infrastrukturę do szpiegowania i przekierowywania ruchu.
Co możesz zrobić
Aby sprawdzić, czy ustawienia są prawidłowe, możemy podać jedynie ogólne wskazówki, ponieważ często zależą one w dużym stopniu od konkretnego urządzenia. Jednak ta metoda zazwyczaj się sprawdza:
Jak sprawdzić, czy ustawienia DHCP routera są zgodne z zaleceniami dostawcy usług internetowych:
- Sprawdź aktualne informacje DHCP dotyczące urządzenia.
Na komputerze lub telefonie podłączonym do sieci domowej otwórz szczegóły sieci i zanotuj adres IP, maskę podsieci, bramę domyślną oraz serwery DNS, z których korzysta Twoje urządzenie. - Zaloguj się do routera i przejdź do ustawień sieci WAN/Internetu.
W interfejsie internetowym routera przejdź do strony „Status” lub „Internet”, aby sprawdzić, jaki adres otrzymał router od dostawcy usług internetowych oraz jakie serwery DNS są skonfigurowane do użycia. - Porównaj te informacje z danymi podanymi w dokumentacji Twojego dostawcy usług internetowych lub z tym, co Ci przekazał.
Sprawdź strony pomocy technicznej swojego dostawcy lub skontaktuj się z działem pomocy, aby potwierdzić, jakie są jego wymagania: czy Twoje połączenie powinno korzystać z protokołu DHCP czy PPPoE, z jakiego zakresu powinien pochodzić Twój publiczny adres IP oraz jakie serwery DNS zazwyczaj udostępnia. Znaczne rozbieżności (na przykład serwery DNS w innym kraju lub należące do nieznanej organizacji) stanowią powód do dalszego zbadania sprawy. - Jeśli korzystasz z niestandardowych serwerów DNS, zapisz to.
Jeśli celowo korzystasz z alternatywnych serwerów DNS (na przykład serwerów zapewniających większą prywatność lub bezpieczeństwo), zapisz to i regularnie sprawdzaj, czy router oraz urządzenia klienckie nadal korzystają z wybranych przez Ciebie adresów.
Inne środki
Jeśli tylko możesz sobie na to pozwolić i jeszcze tego nie zrobiłeś, warto przejść naWi-Fi 7, aby zabezpieczyć swoją instalację na przyszłość, póki obecne modele są jeszcze dostępne w sklepach.
Powinieneś przynajmniej:
- Zmień domyślne nazwy użytkowników i hasła routera na takie, które trudniej odgadnąć.
- Sprawdź stronę internetową dostawcy w poszukiwaniu aktualizacji, upewnij się co do daty zakończenia wsparcia (EOL) i zaktualizuj oprogramowanie sprzętowe do najnowszej wersji.
- W miarę możliwości należy wyłączyć interfejsy do zdalnego zarządzania dostępne z Internetu.
- Wszyscy użytkownicy powinni uważnie analizować ostrzeżenia dotyczące certyfikatów wyświetlane w przeglądarkach internetowych i klientach poczty elektronicznej, ponieważ wskazują one na nieprawidłowości w bezpiecznym połączeniu i mogą oznaczać, że nie łączą się Państwo z autentyczną witryną.
Użytkownicy posiadający odpowiednią wiedzę techniczną mogą przedłużyć okres bezpiecznej eksploatacji routera, zastępując fabryczne oprogramowanie sprzętowe alternatywnymi rozwiązaniami typu open source, takimi jakOpenWrtlubDD-WRT. Wiąże się to jednak z pewnym ryzykiem, w tym utratą gwarancji lub potencjalnym uszkodzeniem urządzenia. Czynność tę należy wykonać samodzielnie lub zlecić jej wykonanie wyłącznie wtedy, gdy czujesz się pewnie w zakresie rozwiązywania problemów technicznych.
Jeśli obywatel Stanów Zjednoczonych podejrzewa, że padł ofiarą rosyjskiego ataku cybernetycznego lub doszło do naruszenia bezpieczeństwa jego systemu, powinien zgłosić to dolokalnego oddziału FBIlub złożyć skargę doIC3. Należy podać szczegółowe informacje na temat routera, którego dotyczy problem, w tym typ urządzenia i ustawienia DHCP.
Przeglądaj, jakby nikt nie patrzył.
Malwarebytes Privacy VPN Twoje połączenie i nigdy nie rejestruje Twojej aktywności, dzięki czemu kolejna przeczytana przez Ciebie wiadomość nie będzieCię osobiście dotykać.Wypróbuj za darmo →
