Ruski Hakeri Preuzimaju Kontrolu nad DNS Postavkama Kućnih Routera

Ruski Vojni Hakeri Napadaju Kućne i Uredske Routere

Sofisticirana kampanja DNS otmice povezana s ruskom vojskom kompromitirala je više od 5.000 potrošačkih uređaja i preko 200 organizacija, prema novim izvješćima istraživača kibernetičke sigurnosti. Prijetnja poznata pod nazivom Forest Blizzard (praćena i kao APT28 ili Strontium), ima veze s ruskom vojnom obavještajnom službom i godinama je aktivna u visokoprofilnim upadima.

Metoda napada je jednostavna, ali iznimno učinkovita. Umjesto da izravno ciljaju pojedinačna računala ili telefone, skupina modificira DNS postavke na kućnim i routerima malih ureda. Jednom kada je router kompromitiran, svaki uređaj koji je na njega spojen — prijenosna računala, telefoni, pametni televizori, radna računala — postaje potencijalna meta.

Kako DNS Otmica Zapravo Funkcionira

DNS, ili Sustav Domenskih Imena, ponekad se opisuje kao telefonski imenik interneta. Kada u preglednik upišete adresu web stranice, vaš uređaj upućuje upit DNS poslužitelju kako bi pronašao numeričku IP adresu potrebnu za spajanje. U normalnim okolnostima, taj upit odlazi na pouzdani DNS poslužitelj, često onaj koji pruža vaš davatelj internetskih usluga.

Kada napadači modificiraju DNS konfiguraciju routera, preusmjeravaju te upite na poslužitelje koje sami kontroliraju. Odatle mogu točno vidjeti koje stranice pokušavate posjetiti i, u nekim slučajevima, presresti stvarni promet. Istraživači su utvrdili da je ova metoda omogućila skupini Forest Blizzard da zarobi podatke u čistom tekstu, uključujući e-poštu i vjerodajnice za prijavu, s uređaja spojenih na kompromitirane routere.

Ovo je posebno zabrinjavajuće jer mnogi korisnici pretpostavljaju da su njihove komunikacije zaštićene samo zato što koriste HTTPS web stranice ili šifrirane usluge e-pošte. Međutim, kada se DNS otme na razini routera, napadači dobivaju uvid u tokove prometa i mogu, pod određenim uvjetima, ukloniti tu zaštitu.

Tko je Forest Blizzard?

Forest Blizzard, poznat i pod aliasima APT28 i Strontium, široko se pripisuje ruskoj vojnoj obavještajnoj agenciji GRU. Skupina je povezana s napadima na vladine agencije, obrambene tvrtke, političke organizacije i kritičnu infrastrukturu diljem Europe i Sjeverne Amerike.

Ova kampanja predstavlja promjenu taktike prema potrošačkoj infrastrukturi. Kućni routeri i routeri malih ureda često se zanemaruju s gledišta sigurnosti. Rijetko primaju ažuriranja firmvera, često rade s zadanim vjerodajnicama i obično ih ne nadziru IT sigurnosni timovi. To ih čini privlačnim ulaznim točkama za skupinu koja želi presresti komunikacije u velikom opsegu.

Kompromitiranje routera napadačima također omogućuje održavanje trajnog pristupa. Čak i ako se zlonamjerni softver ukloni s pojedinog uređaja, kompromitirani router nastavlja preusmjeravati promet sve dok se sam router ne očisti i rekonfigurira.

Što Ovo Znači za Vas

Ako koristite standardni kućni router ili router malog ureda, ova kampanja izravno se tiče vas — čak i ako niste državni službenik ili vjerojatna meta špijunaže. Razmjer napada, više od 5.000 potrošačkih uređaja, sugerira da je ciljanje široko, a ne kirurški precizno.

Postoji nekoliko praktičnih koraka koje je vrijedno poduzeti kao odgovor na ove vijesti.

Provjerite DNS postavke vašeg routera. Prijavite se u administratorski panel routera (obično na 192.168.1.1 ili 192.168.0.1) i provjerite jesu li navedeni DNS poslužitelji oni koje prepoznajete i kojima vjerujete. Ako vidite nepoznate IP adrese koje sami niste postavili, to je upozoravajući znak.

Ažurirajte firmver routera. Proizvođači routera povremeno objavljuju ažuriranja firmvera koja krpaju sigurnosne ranjivosti. Mnogi routeri imaju mogućnost provjere ažuriranja izravno u administratorskom panelu. Ako je vaš router star nekoliko godina i proizvođač ga više ne podržava, razmislite o zamjeni.

Promijenite zadanu administratorsku lozinku routera. Zadane vjerodajnice su široko dostupne i među prvima su što napadači isprobavaju. Snažna, jedinstvena lozinka za administratorsko sučelje routera značajno podiže prepreku za ulaz.

Koristite VPN s zaštitom od curenja DNS-a. VPN usmjerava vaš promet, uključujući DNS upite, kroz šifrirani tunel do poslužitelja izvan vaše lokalne mreže. Čak i ako je DNS vašeg routera bio izmijenjen, VPN s odgovarajućom zaštitom od curenja DNS-a osigurava da vaše upite razrješava VPN pružatelj, a ne napadač. To ne čini kompromitirani router sigurnim, ali značajno ograničava što napadač može promatrati ili presresti.

Razmislite o neovisnom korištenju šifriranog DNS-a. Usluge koje podržavaju DNS over HTTPS (DoH) ili DNS over TLS (DoT) šifriraju vaše DNS upite čak i bez VPN-a, čineći ih težima za presretanje ili preusmjeravanje.

Kampanja Forest Blizzarda podsjetnik je da mrežna sigurnost počinje od routera. Uređaji koji vaš dom ili ured spajaju na internet zaslužuju istu pažnju kao i računala i telefoni na vašem stolu. Njihovo ažuriranje, pravilna konfiguracija i nadzor nisu opcija — to je temelj na kojem sve ostalo počiva. Ako nedavno niste pregledali postavke svog routera, sada je pravo vrijeme da počnete.