Руски хакери отвличат DNS настройките на домашни рутери

Руски военни хакери атакуват домашни и офисни рутери

Усъвършенствана кампания за DNS отвличане, свързана с руската армия, е компрометирала над 5 000 потребителски устройства и над 200 организации, съобщават изследователи в областта на киберсигурността. Заплахата, стояща зад атаките, известна като Forest Blizzard (проследявана също като APT28 или Strontium), е свързана с руското военно разузнаване и участва в мащабни пробиви от години.

Методът на атака е прост, но изключително ефективен. Вместо да атакуват директно отделни компютри или телефони, групата модифицира DNS настройките на домашни рутери и рутери за малки офиси. Веднъж компрометиран рутерът, всяко свързано с него устройство — лаптопи, телефони, смарт телевизори, работни компютри — се превръща в потенциална цел.

Как всъщност работи DNS отвличането

DNS, или системата за имена на домейни, понякога е описвана като телефонния указател на интернет. Когато въведете адрес на уебсайт в браузъра си, устройството ви изпраща заявка до DNS сървър, за да намери числовия IP адрес, необходим за свързване. При нормални обстоятелства тази заявка отива до доверен DNS сървър — най-често такъв, предоставен от вашия интернет доставчик.

Когато нападателите модифицират DNS конфигурацията на рутера, те пренасочват тези заявки към сървъри под тяхно управление. Оттам могат да видят точно кои сайтове се опитвате да посетите и в някои случаи да прихванат реалния трафик. Изследователите установиха, че този метод е позволил на Forest Blizzard да прихваща данни в чист текст, включително имейли и данни за вход от устройства, свързани към компрометираните рутери.

Това е особено тревожно, тъй като много потребители приемат, че комуникациите им са защитени само защото използват HTTPS уебсайтове или криптирани имейл услуги. Но когато DNS е отвлечен на ниво рутер, нападателите получават видимост върху потоците от трафик и при определени условия могат да премахнат тази защита.

Кой е Forest Blizzard?

Forest Blizzard, известен също под псевдонимите APT28 и Strontium, е широко приписван на руската военна разузнавателна агенция ГРУ. Групата е свързана с атаки срещу правителствени агенции, отбранителни изпълнители, политически организации и критична инфраструктура в Европа и Северна Америка.

Тази кампания представлява промяна в тактиката към потребителска инфраструктура. Домашните рутери и тези за малки офиси често са пренебрегвани от гледна точка на сигурността. Рядко получават актуализации на фърмуера, често работят с фабрични данни за достъп и по принцип не се наблюдават от IT екипи по сигурността. Това ги прави привлекателни входни точки за група, целяща да прихваща комуникации в мащаб.

Компрометирането на рутери позволява на нападателите да поддържат постоянен достъп. Дори ако зловредният софтуер бъде премахнат от отделно устройство, компрометираният рутер продължава да пренасочва трафика, докато самият рутер не бъде почистен и преконфигуриран.

Какво означава това за вас

Ако използвате стандартен домашен рутер или такъв за малък офис, тази кампания е пряко свързана с вас — дори ако не сте държавен служител или вероятна цел за шпионаж. Мащабът на атаката — над 5 000 потребителски устройства — подсказва, че прицелването е широко, а не прецизно насочено.

Има няколко практически стъпки, които си струва да предприемете в отговор на тези новини.

Проверете DNS настройките на вашия рутер. Влезте в административния панел на рутера (обикновено на адрес 192.168.1.1 или 192.168.0.1) и проверете дали посочените DNS сървъри са такива, които познавате и на които имате доверие. Ако виждате непознати IP адреси, които не сте задали сами, това е тревожен знак.

Актуализирайте фърмуера на рутера си. Производителите на рутери периодично публикуват актуализации на фърмуера, които отстраняват уязвимости в сигурността. Много рутери имат опция за проверка на актуализации директно в административния панел. Ако рутерът ви е на няколко години и производителят вече не го поддържа, помислете за замяната му.

Сменете фабричната администраторска парола на рутера си. Фабричните данни за достъп са широко известни и са сред първите неща, които нападателите опитват. Силна и уникална парола за административния интерфейс на рутера значително повишава бариерата за достъп.

Използвайте VPN с защита от DNS течове. VPN пренасочва трафика ви, включително DNS заявките, през криптиран тунел към сървъри извън локалната ви мрежа. Дори ако DNS на вашия рутер е бил манипулиран, VPN с подходяща защита от DNS течове гарантира, че заявките ви се разрешават от сървърите на VPN доставчика, а не от тези на нападател. Това не прави компрометирания рутер безопасен, но значително ограничава това, което нападателят може да наблюдава или прихваща.

Помислете за самостоятелно използване на криптиран DNS. Услуги, поддържащи DNS over HTTPS (DoH) или DNS over TLS (DoT), криптират DNS заявките ви дори без VPN, което ги прави по-трудни за прихващане или пренасочване.

Кампанията на Forest Blizzard е напомняне, че мрежовата сигурност започва от рутера. Устройствата, свързващи дома или офиса ви с интернет, заслужават същото внимание като компютрите и телефоните на бюрото ви. Поддържането им актуални, правилно конфигурирани и наблюдавани не е по избор — това е основата, върху която почива всичко останало. Ако наскоро не сте преглеждали настройките на рутера си, сега е добър момент да започнете.