Аналітики з кібербезпеки виявили нову масштабну кампанію, пов'язану з російським державним хакерським угрупованням APT28 (також відомим як Forest Blizzard). Ця кампанія, активна щонайменше з травня 2025 року, спрямована на компрометацію маршрутизаторів класу SOHO (Small Office/Home Office) виробництва MikroTik та TP-Link. Зловмисники модифікують налаштування цих пристроїв, щоб перетворити їх на частину власної шкідливої інфраструктури, що використовується для кібершпигунства.
Основна мета цієї операції – здійснення DNS-викрадення (DNS Hijacking). Це дозволяє APT28 перенаправляти мережевий трафік користувачів через свої сервери, отримуючи доступ до конфіденційної інформації та здійснюючи подальші атаки. Масштабність кампанії та використання поширених пристроїв підкреслюють її потенційну небезпеку для широкого кола користувачів.
Кампанія APT28 використовує вразливості та/або незахищені конфігурації в маршрутизаторах MikroTik та TP-Link. Після отримання доступу до пристрою, зловмисники змінюють його DNS-налаштування. Замість легітимних DNS-серверів, маршрутизатор починає використовувати контрольовані APT28 сервери. Це дозволяє їм:
- Перехоплювати DNS-запити: Всі запити на доменні імена, що проходять через скомпрометований маршрутизатор, перенаправляються на сервери зловмисників.
- Перенаправляти трафік: Користувачі можуть бути перенаправлені на фішингові або шкідливі вебсайти, навіть якщо вони вводять правильні адреси.
- Здійснювати атаки "людина посередині" (Man-in-the-Middle): APT28 може маніпулювати трафіком, що проходить через скомпрометований маршрутизатор, для збору даних або ін'єкції шкідливого коду.
Вибір SOHO-маршрутизаторів обумовлений їхньою широкою поширеністю та часто недостатнім рівнем безпеки, що робить їх легкою мішенню для масових атак.
Ця кампанія становить загрозу для широкого кола користувачів та організацій:
- Малі та домашні офіси (SOHO): Основна ціль, оскільки їхні маршрутизатори часто мають стандартні паролі, застаріле програмне забезпечення або відкриті порти для віддаленого доступу.
- Приватні користувачі: Будь-хто, хто використовує вразливі моделі MikroTik або TP-Link, ризикує стати жертвою DNS-викрадення, що може призвести до крадіжки облікових даних, фінансових втрат або зараження шкідливим ПЗ.
- Урядові та критичні інфраструктурні організації: Хоча SOHO-маршрутизатори не є їхньою основною інфраструктурою, вони можуть використовуватися як точки входу для доступу до мереж співробітників, які працюють віддалено, або як "трамплін" для подальших атак.
Враховуючи агресивну кібердіяльність APT28 проти України, ця загроза є особливо актуальною для українських користувачів та організацій.
Для захисту від подібних атак необхідно вжити наступних заходів:
- Оновлення прошивки: Регулярно перевіряйте та встановлюйте останні оновлення прошивки для вашого маршрутизатора. Виробники випускають патчі для відомих вразливостей.
- Зміна стандартних облікових даних: Негайно змініть стандартні логіни та паролі на складні, унікальні комбінації.
- Вимкнення віддаленого доступу: Якщо віддалений доступ до маршрутизатора не є критично необхідним, вимкніть його. Якщо він потрібен, обмежте доступ лише до довірених IP-адрес.
- Перевірка DNS-налаштувань: Регулярно перевіряйте DNS-сервери, які використовує ваш маршрутизатор. Переконайтеся, що вони відповідають серверам вашого інтернет-провайдера або відомим публічним DNS-серверам (наприклад, Google DNS 8.8.8.8, Cloudflare 1.1.1.1).
- Сегментація мережі: Для організацій рекомендується сегментувати мережу, щоб ізолювати SOHO-пристрої від критично важливих систем.
- Використання VPN: Використання надійного VPN-сервісу може допомогти захистити ваш трафік від DNS-викрадення, оскільки VPN шифрує весь трафік до свого сервера.
- Моніторинг мережевого трафіку: Впровадження систем моніторингу для виявлення аномалій у DNS-запитах або незвичайного мережевого трафіку.