Ruští hackeři přebírají kontrolu nad nastavením DNS domácích routerů

Ruští vojenští hackeři cílí na domácí a kancelářské routery

Sofistikovaná kampaň zaměřená na únos DNS, spojená s ruskou armádou, kompromitovala více než 5 000 spotřebitelských zařízení a přes 200 organizací, vyplývá z nových zjištění výzkumníků v oblasti kybernetické bezpečnosti. Hrozba stojící za těmito útoky, označovaná jako Forest Blizzard (sledovaná také pod jmény APT28 nebo Strontium), má vazby na ruskou vojenskou rozvědku a po léta se podílí na vysoce profilovaných průnicích do systémů.

Metoda útoku je přímočará, ale vysoce účinná. Místo přímého cílení na jednotlivé počítače nebo telefony skupina upravuje nastavení DNS na domácích routerech a routerech malých kanceláří. Jakmile je router kompromitován, každé zařízení k němu připojené – notebooky, telefony, chytré televize, pracovní počítače – se stává potenciálním cílem.

Jak únos DNS skutečně funguje

DNS neboli systém doménových jmen bývá někdy přirovnáván k telefonnímu seznamu internetu. Když zadáte webovou adresu do prohlížeče, vaše zařízení se dotáže DNS serveru na číselnou IP adresu potřebnou k připojení. Za normálních okolností tento dotaz směřuje na důvěryhodný DNS server, často poskytovaný vaším poskytovatelem internetových služeb.

Když útočníci upraví konfiguraci DNS routeru, přesměrují tyto dotazy na servery, které sami ovládají. Odtud mohou přesně vidět, které stránky se pokoušíte navštívit, a v některých případech zachytit skutečný provoz. Výzkumníci zjistili, že tato metoda umožnila skupině Forest Blizzard zachytit nešifrovaná data včetně e-mailů a přihlašovacích údajů ze zařízení připojených ke kompromitovaným routerům.

To je obzvláště znepokojivé, protože mnoho uživatelů předpokládá, že jejich komunikace je chráněna jen proto, že používají webové stránky s protokolem HTTPS nebo šifrované e-mailové služby. Když je však DNS unesen na úrovni routeru, útočníci získají přehled o tocích provozu a za určitých podmínek mohou tuto ochranu odstranit.

Kdo je Forest Blizzard?

Forest Blizzard, známý také pod aliasy APT28 a Strontium, je obecně přisuzován ruské vojenské zpravodajské agentuře GRU. Skupina byla spojena s útoky na vládní agentury, dodavatele v oblasti obrany, politické organizace a kritickou infrastrukturu napříč Evropou a Severní Amerikou.

Tato kampaň představuje taktický posun směrem ke spotřebitelské infrastruktuře. Domácí routery a routery malých kanceláří jsou z bezpečnostního hlediska často přehlíženy. Zřídka dostávají aktualizace firmwaru, často fungují s výchozími přihlašovacími údaji a IT bezpečnostní týmy je zpravidla nemonitorují. To z nich dělá atraktivní vstupní body pro skupinu, která chce zachytávat komunikaci ve velkém měřítku.

Kompromitace routerů navíc umožňuje útočníkům udržovat trvalý přístup. I když je malware odstraněn z jednotlivého zařízení, kompromitovaný router nadále přesměrovává provoz, dokud není sám vyčištěn a překonfigurován.

Co to znamená pro vás

Pokud používáte standardní domácí router nebo router malé kanceláře, tato kampaň se vás přímo týká – i když nejste státním zaměstnancem ani pravděpodobným cílem špionáže. Rozsah útoku, přes 5 000 spotřebitelských zařízení, naznačuje, že cílení je spíše plošné než chirurgicky přesné.

V reakci na tyto zprávy stojí za to podniknout několik praktických kroků.

Zkontrolujte nastavení DNS svého routeru. Přihlaste se do administrátorského panelu routeru (obvykle na adrese 192.168.1.1 nebo 192.168.0.1) a ověřte, zda jsou uvedené DNS servery takové, které znáte a kterým důvěřujete. Pokud vidíte neznámé IP adresy, které jste sami nenastavili, je to varovný signál.

Aktualizujte firmware svého routeru. Výrobci routerů pravidelně vydávají aktualizace firmwaru, které opravují bezpečnostní zranitelnosti. Mnoho routerů nabízí možnost kontroly aktualizací přímo v administrátorském panelu. Pokud je váš router několik let starý a výrobce již neposkytuje podporu, zvažte jeho výměnu.

Změňte výchozí heslo správce routeru. Výchozí přihlašovací údaje jsou veřejně známé a patří mezi první věci, které útočníci zkouší. Silné, jedinečné heslo pro administrátorské rozhraní routeru výrazně zvyšuje bariéru vstupu.

Používejte VPN s ochranou před úniky DNS. VPN směruje váš provoz, včetně dotazů DNS, přes šifrovaný tunel na servery mimo vaši místní síť. I když bylo DNS vašeho routeru pozměněno, VPN s řádnou ochranou před úniky DNS zajistí, že vaše dotazy budou vyřizovány servery poskytovatele VPN, nikoli útočníkovými. Kompromitovaný router to sice neučiní bezpečným, ale výrazně omezí to, co útočník může sledovat nebo zachytit.

Zvažte samostatné používání šifrovaného DNS. Služby podporující DNS přes HTTPS (DoH) nebo DNS přes TLS (DoT) šifrují vaše DNS dotazy i bez VPN, což ztěžuje jejich zachycení nebo přesměrování.

Kampaň Forest Blizzard je připomínkou toho, že zabezpečení sítě začíná u routeru. Zařízení, která připojují váš domov nebo kancelář k internetu, si zaslouží stejnou pozornost jako počítače a telefony na vašem stole. Udržovat je aktualizovaná, správně nakonfigurovaná a monitorovaná není volitelnou záležitostí – je to základ, na němž stojí vše ostatní. Pokud jste nastavení svého routeru v poslední době nekontrolovali, je nejvyšší čas začít.