Хакеры превращают домашние роутеры в шпионскую инфраструктуру
3 мин
56
1
Microsoft зафиксировала масштабную кампанию группировки Forest Blizzard, которую корпорация приписывает российским хакерам. Злоумышленники компрометируют домашние роутеры и маршрутизаторы малых офисов, а затем используют их как часть своей вредоносной инфраструктуры. Кампания идёт минимум с августа 2025 года, и, по данным Microsoft, её проводит подгруппа Forest Blizzard, называемая Storm-2754.
Хакеры получают доступ к SOHO-устройствам и меняют настройки DNS так, чтобы все запросы уходили на их серверы. Эксплуатируя уязвимости, они применяют легитимную утилиту dnsmasq для перехвата трафика через порт 53. Конечные устройства получают сетевые параметры от роутера по DHCP, поэтому подмена остаётся незамеченной.
В Microsoft уточнили, что объектами атаки уже стали 200 организаций и 5 тысяч частных устройств по всему миру. Активы самой корпорации не пострадали. Однако под ударом оказались госучреждения, ИТ-компании, телекоммуникационный и энергетический секторы.
В большинстве случаев DNS-запросы проксируются через инфраструктуру атакующих к легитимным серверам, что остаётся незамеченным пользователем. Но в отдельных случаях Forest Blizzard разворачивает полноценные AiTM-атаки на TLS-соединения: подделывает DNS-ответы для нужных доменов и использует поддельный сертификат под видом сервиса Microsoft. Если пользователь проигнорирует предупреждение браузера, атакующие перехватывают незашифрованный трафик, включая почту и корпоративные данные.
Особенно пострадали домены Microsoft Outlook в веб-версии и серверы как минимум трёх правительственных организаций в Африке. Впервые Microsoft зафиксировала использование перехвата DNS в таких масштабах именно для атак на защищённые TLS-соединения. Компрометация граничных устройств обходится злоумышленникам недорого и даёт широкие возможности для шпионажа. Пока эксперты фиксируют только сбор информации подобным образом, однако позиция AiTM теоретически позволяет развернуть вредоносное ПО или устраивать DDoS-атаки.
В Microsoft рекомендовали применять Zero Trust DNS на Windows-машинах, чтобы разрешение осуществлялось только через доверенные серверы. А также блокировать известные вредоносные домены, вести детальные логи DNS-трафика. Использование домашних роутеров в корпоративных сетях увеличивает риски.
Для усиления защиты от AiTM эксперты рекомендовали централизовать управление идентификацией на единой платформе, а при работе в гибридной среде — интегрировать локальные каталоги с облачными. Также важно использовать исключительно многофакторную аутентификацию, особенно для привилегированных аккаунтов, и беспарольные решения, настроить политики условного доступа и разрешать регистрацию MFA только из доверенных локаций и с проверенных устройств.
Мониторинг необычных изменений в DNS-настройках позволяет обнаружить атаку. А сброс конфигурации и патчинг уязвимостей SOHO-девайсов — остановить текущую активность.
