VPN és titkosítás

Orosz hackerek DNS-beállításokat módosítanak otthoni routereken

2026. április 8.4 perc olvasás

Orosz katonai hackerek célozzák meg az otthoni és irodai routereket

Egy kifinomult DNS-eltérítési kampány, amely az orosz hadsereghez köthető, több mint 5000 fogyasztói eszközt és több mint 200 szervezetet veszélyeztetett a kiberbiztonsági kutatók legújabb jelentései szerint. A támadások mögött álló fenyegetési szereplő, amelyet Forest Blizzard néven ismernek (APT28 vagy Strontium néven is nyomon követik), kapcsolatban áll az orosz katonai hírszerzéssel, és évek óta aktívan részt vesz nagy horderejű behatolásokban.

A támadási módszer egyszerű, de rendkívül hatékony. A csoport ahelyett, hogy közvetlenül egyes számítógépeket vagy telefonokat célozna meg, az otthoni és kisvállalati routerek DNS-beállításait módosítja. Amint egy router kompromittálódik, minden hozzá csatlakoztatott eszköz – laptopok, telefonok, okostévék, munkahelyi számítógépek – potenciális célponttá válik.

Hogyan működik valójában a DNS-eltérítés?

A DNS, vagyis a Domain Name System (tartománynévrendszer) az internet telefonkönyveként szokták leírni. Amikor egy weboldal címét beírja a böngészőjébe, az eszköze egy DNS-szervert kérdez meg a csatlakozáshoz szükséges numerikus IP-cím megtalálásához. Normális körülmények között ez a lekérdezés egy megbízható DNS-szerverhez kerül, amelyet általában az internetszolgáltató biztosít.

Amikor a támadók módosítják egy router DNS-konfigurációját, ezeket a lekérdezéseket az általuk irányított szerverekre irányítják át. Innentől pontosan láthatják, mely oldalakat próbálja meglátogatni, és bizonyos esetekben a tényleges forgalmat is le tudják hallgatni. A kutatók megállapították, hogy ez a módszer lehetővé tette a Forest Blizzard számára, hogy titkosítatlan adatokat szerezzen meg, beleértve az e-maileket és a bejelentkezési hitelesítő adatokat a kompromittált routerekhez csatlakoztatott eszközökről.

Ez azért különösen aggasztó, mert sok felhasználó azt feltételezi, hogy kommunikációja védett pusztán azért, mert HTTPS-weboldalakat vagy titkosított e-mail-szolgáltatásokat használ. Azonban amikor a DNS-t router szinten téríti el egy támadó, a forgalmi folyamatokba betekintést nyer, és bizonyos feltételek mellett képes lehet eltávolítani ezt a védelmet.

Ki az a Forest Blizzard?

A Forest Blizzard, amelyet APT28 és Strontium álneveken is ismernek, széles körben Oroszország GRU katonai hírszerző ügynökségéhez kötik. A csoport kapcsolatban áll kormányzati szervek, védelmi vállalkozók, politikai szervezetek és kritikus infrastruktúrák elleni támadásokkal Európa-szerte és Észak-Amerikában.

Ez a kampány a fogyasztói szintű infrastruktúra felé való taktikai elmozdulást jelképezi. Az otthoni és kisvállalati routereket biztonsági szempontból gyakran figyelmen kívül hagyják. Ritkán kapnak firmware-frissítéseket, sokszor alapértelmezett hitelesítő adatokkal működnek, és jellemzően nem felügyeli őket informatikai biztonsági csapat. Ez vonzó belépési ponttá teszi őket egy olyan csoport számára, amely nagy léptékben kívánja lehallgatni a kommunikációt.

A routerek kompromittálása emellett lehetővé teszi a támadók számára a tartós hozzáférés fenntartását. Még ha az egyes eszközökről el is távolítják a kártékony szoftvert, a kompromittált router mindaddig folytatja a forgalom átirányítását, amíg magát a routert meg nem tisztítják és újra nem konfigurálják.

Mit jelent ez az Ön számára?

Ha normál otthoni vagy kisvállalati routert használ, ez a kampány közvetlenül érinti Önt, még akkor is, ha nem kormányzati alkalmazott, és valószínűleg nem kémkedés célpontja. A támadás léptéke – több mint 5000 fogyasztói eszköz – arra utal, hogy a célpontok kiválasztása inkább széles körű, mint sebészileg pontos.

Számos gyakorlati lépést érdemes megtenni a hírekre reagálva.

Ellenőrizze routere DNS-beállításait. Lépjen be routere adminisztrátori felületére (általában a 192.168.1.1 vagy a 192.168.0.1 címen), és ellenőrizze, hogy a listázott DNS-szerverek felismerhetők és megbízhatók-e az Ön számára. Ha ismeretlen IP-címeket lát, amelyeket Ön nem állított be, az figyelmeztető jel.

Frissítse routere firmware-jét. A routergyártók rendszeresen adnak ki firmware-frissítéseket, amelyek biztonsági sebezhetőségeket javítanak. Sok routeren közvetlenül az adminisztrátori felületen van lehetőség frissítések keresésére. Ha routere már több éves, és a gyártó nem támogatja tovább, fontolja meg a cseréjét.

Változtassa meg routere alapértelmezett adminisztrátori jelszavát. Az alapértelmezett hitelesítő adatokat széles körben közzéteszik, és ezeket próbálják ki a támadók elsőként. Egy erős, egyedi jelszó a router adminisztrátori felületéhez jelentősen emeli a belépési korlátot.

Használjon VPN-t DNS-szivárgásvédelemmel. A VPN az összes forgalmát – beleértve a DNS-lekérdezéseket is – titkosított alagúton keresztül irányítja a helyi hálózaton kívüli szerverekhez. Még ha a router DNS-ét módosították is, a megfelelő DNS-szivárgásvédelemmel rendelkező VPN biztosítja, hogy lekérdezéseit a VPN-szolgáltató szerverei oldják fel, ne egy támadóé. Ez nem teszi biztonságossá a kompromittált routert, de jelentősen korlátozza azt, amit a támadó megfigyelhet vagy lehallgathat.

Fontolja meg a titkosított DNS önálló használatát. A DNS over HTTPS (DoH) vagy DNS over TLS (DoT) protokollt támogató szolgáltatások VPN nélkül is titkosítják DNS-lekérdezéseit, megnehezítve azok lehallgatását vagy átirányítását.

A Forest Blizzard kampány emlékeztetőül szolgál arra, hogy a hálózati biztonság a routernél kezdődik. Az eszközök, amelyek összekapcsolják otthonát vagy irodáját az internettel, ugyanolyan figyelmet érdemelnek, mint az asztalán lévő számítógépek és telefonok. Naprakészen tartásuk, megfelelő konfigurálásuk és felügyeletük nem opcionális – ez az alap, amelyre minden más épül. Ha egy ideje nem ellenőrizte router-beállításait, most jó alkalom elkezdeni.

// GYIK

Ki áll a DNS-eltérítési kampány mögött?

A támadásokat a Forest Blizzardhoz kötik, amelyet APT28 vagy Strontium néven is ismernek, és amelyet széles körben Oroszország GRU katonai hírszerző ügynökségéhez tulajdonítanak. A csoport évek óta aktívan vesz részt nagy horderejű behatolásokban, amelyek célpontjai kormányzati szervek, védelmi vállalkozók és politikai szervezetek.

Hány eszközt és szervezetet érintett a kompromittálás?

A kiberbiztonsági kutatók szerint a kampány több mint 5000 fogyasztói eszközt és több mint 200 szervezetet veszélyeztetett.

Hogyan működik a router szintű DNS-eltérítés?

A támadók módosítják a router DNS-beállításait, hogy a lekérdezéseket az általuk irányított szerverekre irányítsák át, így láthatják, mely oldalakat látogatnak meg a csatlakoztatott eszközök, és potenciálisan lehallgathatják a forgalmat. A kompromittált routerhez csatlakoztatott minden eszköz potenciális célponttá válik.

Miért különösen sebezhetők az otthoni és kisvállalati routerek az ilyen típusú támadásokkal szemben?

Az otthoni és kisvállalati routerek ritkán kapnak firmware-frissítéseket, sokszor alapértelmezett hitelesítő adatokkal működnek, és jellemzően nem felügyeli őket informatikai biztonsági csapat, ami vonzó célponttá teszi őket. Ezek a tényezők lehetővé teszik a támadók számára, hogy könnyebben kompromittálják őket, mint a felügyelt vállalati berendezéseket.

Véd-e a HTTPS-használat vagy a titkosított e-mail ez ellen a támadás ellen?

Nem feltétlenül, mert amikor a DNS-t router szinten téríti el egy támadó, betekintést nyerhet a forgalmi folyamatokba, és bizonyos feltételek mellett eltávolíthatja ezt a védelmet. A kutatók megállapították, hogy a Forest Blizzard képes volt titkosítatlan adatokat – köztük e-maileket és bejelentkezési hitelesítő adatokat – megszerezni az érintett eszközökről.

Orosz katonai hackerek célozzák meg az otthoni és irodai routereket

Hogyan működik valójában a DNS-eltérítés?

Ki az a Forest Blizzard?

Mit jelent ez az Ön számára?

// GYIK

// Kapcsolódó