Russiske hackere kaprer DNS-innstillingene på hjemmerutere

Russiske militærhackere angriper hjem- og kontorrutere

En sofistikert DNS-kapringskampanje knyttet til det russiske militæret har kompromittert mer enn 5 000 forbrukerenheter og over 200 organisasjoner, ifølge nye rapporter fra cybersikkerhetsforskere. Trusselaktøren bak angrepene, kjent som Forest Blizzard (også sporet som APT28 eller Strontium), har tilknytning til russisk militær etterretning og har vært aktiv i høyprofilerte innbrudd i en årrekke.

Angrepsmetoden er enkel, men svært effektiv. I stedet for å angripe individuelle datamaskiner eller telefoner direkte, modifiserer gruppen DNS-innstillingene på hjem- og småkontorrutere. Når en ruter er kompromittert, blir hver enhet som er koblet til den – bærbare datamaskiner, telefoner, smarte TV-er, arbeidsdatamaskiner – et potensielt mål.

Slik fungerer DNS-kapring i praksis

DNS, eller Domain Name System, beskrives noen ganger som internettets telefonkatalog. Når du skriver inn en nettstedsadresse i nettleseren din, spør enheten din en DNS-server om den numeriske IP-adressen den trenger for å koble til. Under normale omstendigheter går denne forespørselen til en betrodd DNS-server, ofte en som leveres av internettleverandøren din.

Når angripere endrer ruterens DNS-konfigurasjon, omdirigerer de disse forespørslene til servere de kontrollerer. Derfra kan de se nøyaktig hvilke nettsteder du forsøker å besøke, og i noen tilfeller avskjære selve trafikken. Forskerne fant at denne metoden lot Forest Blizzard fange opp ukrypterte data, inkludert e-poster og påloggingsopplysninger, fra enheter koblet til de kompromitterte ruterne.

Dette er særlig bekymringsfullt fordi mange brukere antar at kommunikasjonen deres er beskyttet bare fordi de bruker HTTPS-nettsteder eller krypterte e-posttjenester. Men når DNS kapres på ruternivå, får angriperne innsyn i trafikkstrømmene og kan under visse betingelser fjerne denne beskyttelsen.

Hvem er Forest Blizzard?

Forest Blizzard, også kjent under aliasene APT28 og Strontium, tilskrives i stor grad Russlands militære etterretningstjeneste GRU. Gruppen har vært knyttet til angrep mot offentlige etater, forsvarsentreprenører, politiske organisasjoner og kritisk infrastruktur i Europa og Nord-Amerika.

Denne kampanjen representerer et taktisk skifte mot forbrukerbasert infrastruktur. Hjem- og småkontorrutere blir ofte oversett fra et sikkerhetsperspektiv. De mottar sjelden fastvareoppdateringer, kjører ofte på standardlegitimasjon og overvåkes vanligvis ikke av IT-sikkerhetsteam. Dette gjør dem til attraktive inngangspunkter for en gruppe som ønsker å avskjære kommunikasjon i stor skala.

Å kompromittere rutere gir også angriperne vedvarende tilgang. Selv om skadelig programvare fjernes fra en individuell enhet, vil en kompromittert ruter fortsette å omdirigere trafikk helt til ruteren selv renses og konfigureres på nytt.

Hva dette betyr for deg

Hvis du bruker en vanlig hjem- eller småkontorruter, er denne kampanjen direkte relevant for deg – selv om du ikke er en statlig ansatt eller et sannsynlig etterretningsobjekt. Omfanget av angrepet – mer enn 5 000 forbrukerenheter – tyder på at målrettingen er bred heller enn kirurgisk presis.

Det finnes flere praktiske tiltak som er verdt å ta som respons på denne nyheten.

Sjekk ruterens DNS-innstillinger. Logg inn på ruterens adminpanel (vanligvis på 192.168.1.1 eller 192.168.0.1) og bekreft at DNS-serverne som er oppført er slike du kjenner igjen og stoler på. Hvis du ser ukjente IP-adresser som du ikke selv har angitt, er det et advarselstegn.

Oppdater ruterens fastvare. Ruterprodusenter utgir jevnlig fastvareoppdateringer som tetter sikkerhetshull. Mange rutere har et alternativ for å se etter oppdateringer direkte i adminpanelet. Hvis ruteren din er flere år gammel og produsenten ikke lenger støtter den, bør du vurdere å bytte den ut.

Endre ruterens standard adminpassord. Standardlegitimasjon er allment kjent og er blant det første angripere prøver. Et sterkt, unikt passord for ruterens admingrensesnitt hever terskelen for innbrudd betydelig.

Bruk en VPN med beskyttelse mot DNS-lekkasje. En VPN ruter trafikken din – inkludert DNS-forespørsler – gjennom en kryptert tunnel til servere utenfor ditt lokale nettverk. Selv om ruterens DNS har blitt manipulert, sikrer en VPN med skikkelig DNS-lekkasjevern at forespørslene dine løses av VPN-leverandørens servere i stedet for en angripers. Dette gjør ikke en kompromittert ruter trygg, men det begrenser vesentlig hva en angriper kan observere eller avskjære.

Vurder å bruke kryptert DNS uavhengig. Tjenester som støtter DNS over HTTPS (DoH) eller DNS over TLS (DoT) krypterer DNS-forespørslene dine selv uten en VPN, noe som gjør dem vanskeligere å avskjære eller omdirigere.

Forest Blizzard-kampanjen er en påminnelse om at nettverkssikkerhet starter ved ruteren. Enhetene som kobler hjemmet eller kontoret ditt til internett, fortjener samme oppmerksomhet som datamaskinene og telefonene på skrivebordet ditt. Å holde dem oppdatert, riktig konfigurert og overvåket er ikke valgfritt – det er grunnlaget alt annet hviler på. Hvis du ikke nylig har gjennomgått ruterinnstillingene dine, er det et godt tidspunkt å begynne nå.