Russiske hackere kaprer DNS-indstillinger på hjemmerouters

Russiske militærhackere angriber hjemme- og kontorrouters

En sofistikeret DNS-kapringskampagne med forbindelser til den russiske militær har kompromitteret mere end 5.000 forbrugerenheder og over 200 organisationer, ifølge ny rapportering fra cybersikkerhedsforskere. Trusselsaktøren bag angrebene, kendt som Forest Blizzard (også sporet som APT28 eller Strontium), har forbindelser til russisk militæreftretning og har i årevis været aktiv i højprofilerede indbrud.

Angrepsmetoden er ligetil, men yderst effektiv. I stedet for at angribe individuelle computere eller telefoner direkte, modificerer gruppen DNS-indstillinger på hjemme- og småkontorsrouters. Når en router er kompromitteret, bliver hver enhed der er tilsluttet den – bærbare computere, telefoner, smart-tv'er, arbejdscomputere – et potentielt mål.

Sådan fungerer DNS-kapring i praksis

DNS, eller Domain Name System, beskrives nogle gange som internettets telefonbog. Når du skriver en webadresse i din browser, forespørger din enhed en DNS-server for at finde den numeriske IP-adresse, den skal bruge for at oprette forbindelse. Under normale omstændigheder sendes denne forespørgsel til en betroet DNS-server, ofte en der leveres af din internetudbyder.

Når angribere modificerer en routers DNS-konfiguration, omdirigerer de disse forespørgsler til servere, de selv kontrollerer. Derfra kan de se præcis, hvilke sider du forsøger at besøge, og i visse tilfælde opsnappe den faktiske trafik. Forskerne fandt ud af, at denne metode gjorde det muligt for Forest Blizzard at indfange ukrypterede data, herunder e-mails og loginoplysninger, fra enheder tilsluttet de kompromitterede routers.

Dette er særligt bekymrende, fordi mange brugere antager, at deres kommunikation er beskyttet, blot fordi de bruger HTTPS-websteder eller krypterede e-mailtjenester. Men når DNS kapres på routerniveau, får angribere indsigt i trafikstrømmene og kan under visse betingelser fjerne denne beskyttelse.

Hvem er Forest Blizzard?

Forest Blizzard, også kendt under aliasserne APT28 og Strontium, tilskrives bredt Ruslands GRU militære efterretningstjeneste. Gruppen har været knyttet til angreb på statslige myndigheder, forsvarsvirksomheder, politiske organisationer og kritisk infrastruktur i hele Europa og Nordamerika.

Denne kampagne repræsenterer et taktisk skift mod forbrugerbaseret infrastruktur. Hjemme- og småkontorsrouters overses ofte fra et sikkerhedsmæssigt perspektiv. De modtager sjældent firmwareopdateringer, kører ofte på standardoplysninger og overvåges typisk ikke af it-sikkerhedsteams. Det gør dem til attraktive indgangspunkter for en gruppe, der ønsker at opsnappe kommunikation i stor skala.

At kompromittere routers giver desuden angribere mulighed for at opretholde vedvarende adgang. Selv hvis malware fjernes fra en individuel enhed, fortsætter en kompromitteret router med at omdirigere trafik, indtil routeren selv er renset og rekonfigureret.

Hvad betyder dette for dig?

Hvis du bruger en almindelig hjemme- eller småkontorsrouter, er denne kampagne direkte relevant for dig – selv hvis du ikke er statsansat eller et sandsynligt spionagemål. Angrebets omfang – mere end 5.000 forbrugerenheder – tyder på, at målretningen er bred snarere end kirurgisk præcis.

Der er flere praktiske skridt, det er værd at tage som reaktion på denne nyhed.

Tjek din routers DNS-indstillinger. Log ind på din routers administratorpanel (typisk på 192.168.1.1 eller 192.168.0.1) og bekræft, at de angivne DNS-servere er dem, du kender og har tillid til. Hvis du ser ukendte IP-adresser, som du ikke selv har indstillet, er det et advarselstegn.

Opdater din routers firmware. Routerproducenter udgiver regelmæssigt firmwareopdateringer, der retter sikkerhedssårbarheder. Mange routers har en mulighed for at tjekke for opdateringer direkte i administratorpanelet. Hvis din router er flere år gammel, og producenten ikke længere understøtter den, bør du overveje at udskifte den.

Skift din routers standardadgangskode til administratoren. Standardoplysninger er bredt offentliggjort og er blandt de første ting, angribere forsøger. En stærk, unik adgangskode til din routers administratorgrænseflade hæver adgangsbarrieren markant.

Brug en VPN med DNS-lækbeskyttelse. En VPN sender din trafik, herunder DNS-forespørgsler, gennem en krypteret tunnel til servere uden for dit lokale netværk. Selv hvis din routers DNS er blevet manipuleret, sikrer en VPN med ordentlig DNS-lækbeskyttelse, at dine forespørgsler opløses af VPN-udbyderens servere frem for en angribers. Dette gør ikke en kompromitteret router sikker, men det begrænser markant, hvad en angriber kan observere eller opsnappe.

Overvej at bruge krypteret DNS uafhængigt. Tjenester der understøtter DNS over HTTPS (DoH) eller DNS over TLS (DoT) krypterer dine DNS-forespørgsler selv uden en VPN, hvilket gør dem sværere at opsnappe eller omdirigere.

Forest Blizzard-kampagnen er en påmindelse om, at netværkssikkerhed begynder ved routeren. De enheder, der forbinder dit hjem eller kontor til internettet, fortjener den samme opmærksomhed som computerne og telefonerne på dit skrivebord. At holde dem opdaterede, korrekt konfigurerede og overvågede er ikke valgfrit – det er fundamentet, som alt andet hviler på. Hvis du ikke har gennemgået dine routerindstillinger for nylig, er det nu et godt tidspunkt at begynde.