Група APT28, яку пов'язують з російською військовою розвідкою (ГРУ) і також відома як Forest Blizzard, розгорнула кампанію кібершпигунства, що відрізняється своєю «безмальварною» природою. Замість використання складних вірусів чи троянів, зловмисники зосередилися на компрометації маршрутизаторів для малого офісу та домашнього використання (SOHO). Метою є перехоплення трафіку та викрадення облікових даних, що дозволяє отримати доступ до корпоративних та урядових мереж.
Основна хитрість цієї атаки полягає у зміні лише одного параметра налаштувань DNS на вразливих маршрутизаторах. Коли маршрутизатор скомпрометований, APT28 змінює його DNS-сервер на контрольований ними зловмисний сервер. Це дозволяє їм:
- Перенаправляти трафік: Коли користувач намагається отримати доступ до легітимного веб-сайту, запит DNS проходить через зловмисний сервер, який може перенаправити його на фішингову сторінку, що імітує оригінал.
- Викрадати облікові дані: На цих фішингових сторінках користувачі вводять свої логіни та паролі, які потім перехоплюються зловмисниками.
- Уникати виявлення: Оскільки не використовується традиційне шкідливе програмне забезпечення, атака стає значно складнішою для виявлення антивірусними програмами та іншими засобами захисту кінцевих точок. Зміни відбуваються на рівні мережевого обладнання, що часто залишається поза увагою стандартних моніторингових систем.
Цей підхід є прикладом «безфайлової» (fileless) або, точніше, «безмальварної» (malwareless) атаки, де компрометація відбувається через зміну конфігурації легітимних систем.
Ця кампанія становить значну загрозу для широкого кола організацій та приватних користувачів, які використовують маршрутизатори SOHO-класу. Особливо вразливими є:
- Малі та середні підприємства (МСП): Часто використовують SOHO-маршрутизатори через їхню доступність та простоту налаштування, але можуть не мати ресурсів для комплексного моніторингу безпеки.
- Віддалені працівники: Співробітники, які працюють з дому, підключаючись до корпоративних мереж через домашні SOHO-маршрутизатори, стають потенційними точками входу для APT28.
- Урядові та неурядові організації: Навіть великі організації можуть мати підрозділи або філії, що використовують подібне обладнання, або їхні співробітники можуть бути атаковані в домашніх умовах.
Враховуючи активність APT28 проти України та її союзників, українські організації та фахівці повинні бути особливо пильними.
Для захисту від подібних атак Cyber Index UA рекомендує наступні заходи:
- Оновлення прошивки маршрутизаторів: Регулярно перевіряйте та встановлюйте останні оновлення прошивки для всіх SOHO-маршрутизаторів. Виробники часто випускають патчі для відомих вразливостей.
- Зміна стандартних облікових даних: Завжди змінюйте стандартні логіни та паролі адміністратора на маршрутизаторах на складні, унікальні комбінації.
- Використання надійних DNS-серверів: Налаштуйте маршрутизатори на використання надійних та безпечних DNS-серверів (наприклад, Google DNS, Cloudflare DNS, OpenDNS), якщо це можливо, та перевіряйте, що ці налаштування не змінюються несанкціоновано.
- Моніторинг мережевого трафіку: Впровадьте моніторинг DNS-запитів та мережевого трафіку для виявлення аномалій або перенаправлень на невідомі сервери.
- Багатофакторна автентифікація (MFA): Завжди використовуйте MFA для всіх онлайн-сервісів, особливо для доступу до корпоративних ресурсів. Це значно ускладнить використання викрадених облікових даних.
- Сегментація мережі: Якщо можливо, відокремлюйте мережі для віддалених працівників або менш захищених пристроїв від основної корпоративної мережі.