Британские сотрудники спецслужб установили, что группа, связанная с российскими военными, ведет шпионаж за пользователями взломанных маршрутизаторов класса SOHO (Small Office/Home Office) в рамках широкомасштабной кампании по кибершпионажу. В блоге Microsoft подробно описаны технические детали этих атак.
Эта группа, которую мы будем называть APT28, но которая также известна под такими названиями, как Fancy Bear, BlueDelta и Forest Blizzard, изменяет настройки DNS взломанных маршрутизаторов, чтобы их трафик направлялся через серверы, находящиеся под их контролем, что позволяет APT28 шпионить за пользователями.
Система доменных имен (DNS) — это механизм, с помощью которого доменные имена в Интернете находят и преобразуются в IP-адреса. Устройства обычно получают сетевые настройки от маршрутизаторов с помощью протокола динамической настройки хостов (DHCP).
Если злоумышленник сможет подделать настройки DNS маршрутизатора, он сможет незаметно перенаправить трафик через контролируемую им инфраструктуру, похитить учетные данные и, в некоторых случаях, встать между пользователем и реальным сервисом. Именно поэтому данная кампания может способствовать краже учетных данных и даже целенаправленному перехвату трафика Microsoft 365 и других облачных сервисов.
В информационном сообщении ФБР говорится, что APT28:
«…получил доступ к паролям, токенам аутентификации и конфиденциальной информации, включая электронные письма и данные о просмотрах веб-страниц, которые обычно защищены шифрованием по протоколам SSL (Secure Socket Layer) и TLS (Transport Layer Security)».
По данным ФБР, эта группировка проводила широкомасштабные операции на территории США и по всему миру, а затем сузила круг своих жертв до тех, кто имел доступ к информации, касающейся военной сферы, государственных органов и объектов критически важной инфраструктуры.
В предупреждении NCSC особо отмечается одна модель маршрутизатора TP-Link (WR841N) с известной уязвимостью, которая позволяет неавторизованному злоумышленнику получить такие данные, как имена пользователей и пароли, с помощью специально сформированных HTTP-запросов GET. Данная модель маршрутизатора широко продается частным лицам и малым предприятиям и, как правило, не используется в качестве стандартного оборудования крупными интернет-провайдерами. В статье также приводится обширный, но не исчерпывающий список других моделей маршрутизаторов TP-Link, которые стали мишенью APT28.
По данным Microsoft Threat Intelligence, было выявлено более 200 организаций и 5 000 потребительских устройств, пострадавших от вредоносной DNS-инфраструктуры Forest Blizzard.
Дискуссия о запрете маршрутизаторов
Несколько недель назад мы прокомментировали решение Федеральной комиссии по связи (FCC) фактически запретить ввоз маршрутизаторов иностранного производства, если их производители не получат соответствующее исключение, в связи с тем, чтоFCC назвала«неприемлемым риском для национальной безопасности Соединенных Штатов или безопасности и неприкосновенности граждан США».
Действия APT28 демонстрируют тот вид риска, который FCC пытается предотвратить, но они также подтверждают нашу точку зрения: хотя дискуссии о запретах на маршрутизаторы и ограничениях в цепочке поставок часто сосредоточены на стране происхождения, более важный вопрос заключается в том, насколько эти устройства безопасны на практике. Если маршрутизатор поставляется с слабыми настройками по умолчанию, плохой поддержкой обновлений или запутанным процессом настройки, он становится мишенью независимо от того, где он был произведен. Злоумышленникам не нужна идеальность. Им нужно лишь достаточное количество незащищенных устройств, чтобы построить обширную и незаметную инфраструктуру для шпионажа и перенаправления трафика.
Что вы можете сделать
Чтобы проверить, верны ли ваши настройки, мы можем дать лишь общие рекомендации, поскольку они зачастую зависят от конкретной модели устройства. Однако этот способ обычно помогает:
Как проверить, соответствуют ли настройки DHCP вашего маршрутизатора требованиям вашего интернет-провайдера:
- Проверьте текущие настройки DHCP на устройстве.
На компьютере или телефоне, подключенном к домашней сети, откройте сведения о сети и запишите IP-адрес, маску подсети, шлюз по умолчанию и DNS-серверы, которые использует ваше устройство. - Войдите в интерфейс маршрутизатора и перейдите в настройки WAN/Интернет.
В веб-интерфейсе маршрутизатора откройте страницу «Статус» или «Интернет», чтобы узнать, какой IP-адрес он получил от интернет-провайдера и какие DNS-серверы настроены для использования. - Сравните эти данные с информацией, указанной в документации вашего интернет-провайдера или предоставленной им лично.
Проверьте страницы службы поддержки вашего провайдера или обратитесь в службу поддержки, чтобы уточнить их требования: должен ли ваше соединение использовать протокол DHCP или PPPoE, в каком диапазоне должен находиться ваш публичный IP-адрес и какие DNS-серверы обычно предоставляются провайдером. Существенные несоответствия (например, DNS-серверы, расположенные в другой стране или принадлежащие неизвестной организации) являются поводом для дополнительного расследования. - Если вы используете настраиваемый DNS, зафиксируйте это.
Если вы сознательно используете альтернативный DNS (например, резолвер, обеспечивающий конфиденциальность или безопасность), запишите это и периодически проверяйте, что ваш маршрутизатор и клиенты по-прежнему используют выбранные вами адреса.
Другие меры
Если у вас есть такая возможность и вы ещё этого не сделали, перейдите наWi-Fi 7, чтобы обеспечить готовность вашей системы к будущим технологическим изменениям, пока текущие модели ещё доступны в продаже.
Вы должны как минимум:
- Измените стандартные имена пользователей и пароли вашего роутера на такие, которые сложнее угадать.
- Проверьте веб-сайт поставщика на наличие обновлений, уточните дату прекращения поддержки и обновите прошивку до последней версии.
- По возможности отключите интерфейсы удаленного управления из Интернета.
- Всем пользователям следует внимательно относиться к предупреждениям о сертификатах, отображаемым в веб-браузерах и почтовых клиентах, поскольку они указывают на проблемы с безопасным соединением и могут означать, что вы подключаетесь не к подлинному сайту.
Пользователям, обладающим достаточными техническими знаниями, замена прошивки от производителя на альтернативные варианты с открытым исходным кодом, такие какOpenWrtилиDD-WRT, может продлить срок безопасной эксплуатации роутера. Однако это сопряжено с рисками, в том числе с аннулированием гарантии или возможным выходом устройства из строя. Вы должны делать это самостоятельно или поручать кому-либо, только если уверены в своих силах при устранении неисправностей.
Если гражданин США подозревает, что стал жертвой российского кибератаки или его система была взломана, ему рекомендуется сообщить об этом вместное отделение ФБРили подать жалобу вIC3. Обязательно укажите подробную информацию о затронутом маршрутизаторе, включая тип устройства и настройки DHCP.
Просматривайте, как будто никто не смотрит.
Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно →
