Venäläiset hakkerit kaappaavat kotireittimien DNS-asetuksia

Venäläiset sotilashakkerit kohdistavat hyökkäyksiä koti- ja toimistoreittimiin

Kyberturvallisuustutkijoiden uuden raportin mukaan Venäjän armeijaan liitetty kehittynyt DNS-kaappauskampanja on vaarantanut yli 5 000 kuluttajalaitetta ja yli 200 organisaatiota. Hyökkäysten takana oleva uhkatoimija, tunnetaan nimellä Forest Blizzard (seurataan myös nimillä APT28 tai Strontium), on yhteydessä Venäjän sotilastiedusteluun ja on ollut aktiivinen merkittävissä tietomurroissa jo vuosien ajan.

Hyökkäysmenetelmä on suoraviivainen mutta erittäin tehokas. Sen sijaan että ryhmä kohdistaisi hyökkäyksiä suoraan yksittäisiin tietokoneisiin tai puhelimiin, se muokkaa DNS-asetuksia koti- ja pientoimistoreittimissä. Kun reititin on vaarantunut, kaikista siihen liitetyistä laitteista — kannettavista tietokoneista, puhelimista, älytelevisioista ja työtietokoneista — tulee mahdollisia kohteita.

Miten DNS-kaappaus toimii käytännössä

DNS eli nimipalvelujärjestelmä kuvataan joskus internetin puhelinluetteloksi. Kun kirjoitat verkkosivuston osoitteen selaimeen, laitteesi tekee kyselyn DNS-palvelimelle löytääkseen tarvittavan numeerisen IP-osoitteen yhteyden muodostamiseksi. Normaaliolosuhteissa kysely ohjautuu luotettuun DNS-palvelimeen, jonka tarjoaa usein internetpalveluntarjoaja.

Kun hyökkääjät muokkaavat reitittimen DNS-asetuksia, he ohjaavat nämä kyselyt hallitsemiinsa palvelimiin. Tämän jälkeen he voivat nähdä tarkasti, mitä sivustoja yrität vierailla, ja joissain tapauksissa siepata varsinaisen liikenteen. Tutkijat havaitsivat, että tämän menetelmän avulla Forest Blizzard pystyi kaappaamaan selväkielistä dataa, kuten sähköposteja ja kirjautumistietoja, vaarantuneisiin reittimiin liitetyistä laitteista.

Tämä on erityisen huolestuttavaa, koska monet käyttäjät olettavat viestintänsä olevan suojattua pelkästään sen vuoksi, että he käyttävät HTTPS-sivustoja tai salattuja sähköpostipalveluja. Mutta kun DNS kaapataan reititintasolla, hyökkääjät saavat näkyvyyden liikennevirtoihin ja voivat tietyissä olosuhteissa riisua sen suojauksen.

Kuka on Forest Blizzard?

Forest Blizzard, tunnetaan myös aliaksilla APT28 ja Strontium, liitetään laajalti Venäjän GRU-sotilastiedustelupalveluun. Ryhmä on yhdistetty hyökkäyksiin, jotka ovat kohdistuneet valtion virastoihin, puolustusalan urakoitsijoihin, poliittisiin organisaatioihin ja kriittiseen infrastruktuuriin Euroopassa ja Pohjois-Amerikassa.

Tämä kampanja edustaa taktista muutosta kohti kuluttajaluokan infrastruktuuria. Koti- ja pientoimistoreittimet jäävät usein huomiotta tietoturvan näkökulmasta. Ne saavat harvoin laiteohjelmistopäivityksiä, toimivat usein oletustunnuksilla eikä IT-tietoturvatiimit tyypillisesti valvo niitä. Tämä tekee niistä houkuttelevia sisääntulopisteitä ryhmälle, joka haluaa siepata viestintää laajassa mittakaavassa.

Reittimien vaarantaminen antaa hyökkääjille myös pysyvän pääsyn. Vaikka haittaohjelma poistettaisiin yksittäisestä laitteesta, vaarantunut reititin jatkaa liikenteen uudelleenohjausta, kunnes reititin itse puhdistetaan ja määritetään uudelleen.

Mitä tämä tarkoittaa sinulle

Jos käytät tavallista koti- tai pientoimistoreititintä, tämä kampanja koskee suoraan sinua — vaikka et olisi valtion virkailija tai todennäköinen vakoilun kohde. Hyökkäyksen laajuus, yli 5 000 kuluttajalaitetta, viittaa siihen, että kohdistaminen on laaja-alaista eikä kirurgisen tarkkaa.

Uutisiin reagoimiseksi on syytä ryhtyä useisiin käytännön toimenpiteisiin.

Tarkista reitittimesi DNS-asetukset. Kirjaudu reitittimesi hallintapaneeliin (tyypillisesti osoitteessa 192.168.1.1 tai 192.168.0.1) ja varmista, että listatut DNS-palvelimet ovat sellaisia, jotka tunnistat ja joihin luotat. Jos näet tuntemattomia IP-osoitteita, joita et ole itse asettanut, se on varoitusmerkki.

Päivitä reitittimesi laiteohjelmisto. Reitinvalmistajat julkaisevat ajoittain laiteohjelmistopäivityksiä, jotka korjaavat tietoturva-aukkoja. Monissa reittimissä on mahdollisuus tarkistaa päivitykset suoraan hallintapaneelista. Jos reittimesi on useita vuosia vanha eikä valmistaja enää tue sitä, harkitse sen vaihtamista.

Vaihda reitittimesi oletusylläpitäjän salasana. Oletustunnukset ovat laajalti julkaistuja ja ovat ensimmäisiä asioita, joita hyökkääjät kokeilevat. Vahva, ainutlaatuinen salasana reitittimesi hallintaliittymään nostaa merkittävästi sisäänpääsyn kynnystä.

Käytä VPN-palvelua, jossa on DNS-vuotosuojaus. VPN reitittää liikenteesi, mukaan lukien DNS-kyselyt, salatun tunnelin kautta verkosi ulkopuolisiin palvelimiin. Vaikka reitittimesi DNS olisi manipuloitu, DNS-vuotosuojauksella varustettu VPN varmistaa, että kyselysi ratkaistaan VPN-palveluntarjoajan palvelimilla eikä hyökkääjän palvelimilla. Tämä ei tee vaarantuneesta reitittimestä turvallista, mutta rajoittaa merkittävästi sitä, mitä hyökkääjä voi havaita tai siepata.

Harkitse salatun DNS:n käyttöä itsenäisesti. Palvelut, jotka tukevat DNS over HTTPS (DoH) tai DNS over TLS (DoT) -protokollia, salaavat DNS-kyselysi myös ilman VPN:ää, mikä tekee niiden sieppaamisesta tai uudelleenohjaamisesta vaikeampaa.

Forest Blizzard -kampanja muistuttaa, että verkon tietoturva alkaa reitittimestä. Laitteet, jotka yhdistävät kotisi tai toimistosi internetiin, ansaitsevat saman huomion kuin pöydälläsi olevat tietokoneet ja puhelimet. Niiden pitäminen päivitettynä, asianmukaisesti määritettynä ja valvottuna ei ole valinnaista — se on perusta, jolle kaikki muu rakentuu. Jos et ole äskettäin tarkistanut reitittimesi asetuksia, nyt on hyvä aika aloittaa.