Российские хакеры захватывают настройки DNS домашних роутеров

Российские военные хакеры атакуют домашние и офисные роутеры

По данным новых исследований в области кибербезопасности, изощрённая кампания по перехвату DNS, связанная с российскими военными, скомпрометировала более 5 000 потребительских устройств и свыше 200 организаций. Группировка, стоящая за атаками и известная под именем Forest Blizzard (также отслеживаемая как APT28 или Strontium), связана с российской военной разведкой и на протяжении многих лет причастна к резонансным взломам.

Метод атаки прост, но крайне эффективен. Вместо того чтобы атаковать отдельные компьютеры или телефоны напрямую, группировка изменяет настройки DNS на домашних роутерах и роутерах небольших офисов. После взлома роутера каждое подключённое к нему устройство — ноутбуки, телефоны, смарт-телевизоры, рабочие компьютеры — становится потенциальной целью.

Как на самом деле работает перехват DNS

DNS, или систему доменных имён, иногда называют телефонной книгой интернета. Когда вы вводите адрес сайта в браузере, ваше устройство отправляет запрос к DNS-серверу, чтобы найти необходимый числовой IP-адрес для подключения. В обычных условиях этот запрос направляется на доверенный DNS-сервер, зачастую предоставляемый интернет-провайдером.

Когда злоумышленники изменяют конфигурацию DNS роутера, они перенаправляют эти запросы на подконтрольные им серверы. После этого они могут видеть, какие именно сайты вы пытаетесь посетить, а в ряде случаев — перехватывать фактический трафик. Исследователи установили, что этот метод позволил Forest Blizzard захватывать данные в открытом виде, включая электронные письма и учётные данные для входа, с устройств, подключённых к скомпрометированным роутерам.

Это особенно тревожно, поскольку многие пользователи считают свои коммуникации защищёнными только потому, что пользуются сайтами с HTTPS или зашифрованными почтовыми сервисами. Однако когда DNS перехватывается на уровне роутера, злоумышленники получают возможность наблюдать за потоками трафика и при определённых условиях снимать эту защиту.

Кто такая Forest Blizzard?

Группировка Forest Blizzard, также известная под псевдонимами APT28 и Strontium, по широко распространённому мнению, связана с российским военным разведывательным агентством ГРУ. Группа причастна к атакам на государственные органы, оборонных подрядчиков, политические организации и объекты критической инфраструктуры в Европе и Северной Америке.

Данная кампания представляет собой смещение тактики в сторону потребительской инфраструктуры. Домашние роутеры и роутеры небольших офисов нередко остаются без должного внимания с точки зрения безопасности. Они редко получают обновления прошивки, зачастую работают с учётными данными по умолчанию и, как правило, не находятся под наблюдением ИТ-специалистов по безопасности. Это делает их привлекательными точками входа для группировки, стремящейся перехватывать коммуникации в масштабе.

Взлом роутеров также позволяет злоумышленникам сохранять постоянный доступ. Даже если вредоносное программное обеспечение удалено с отдельного устройства, скомпрометированный роутер продолжает перенаправлять трафик до тех пор, пока сам роутер не будет очищен и перенастроен.

Что это означает для вас

Если вы используете стандартный домашний роутер или роутер небольшого офиса, эта кампания напрямую касается вас — даже если вы не являетесь государственным служащим или вероятной целью шпионажа. Масштаб атаки — более 5 000 потребительских устройств — свидетельствует о том, что выбор целей носит широкий, а не избирательный характер.

В ответ на эту новость стоит предпринять несколько практических шагов.

Проверьте настройки DNS вашего роутера. Войдите в панель администратора роутера (как правило, по адресу 192.168.1.1 или 192.168.0.1) и убедитесь, что указанные DNS-серверы вам знакомы и заслуживают доверия. Если вы видите незнакомые IP-адреса, которые не устанавливали самостоятельно, это тревожный сигнал.

Обновите прошивку роутера. Производители роутеров периодически выпускают обновления прошивки, устраняющие уязвимости в системе безопасности. Во многих роутерах в панели администратора есть опция проверки обновлений. Если вашему роутеру несколько лет и производитель больше не поддерживает его, рассмотрите возможность замены.

Измените стандартный пароль администратора роутера. Учётные данные по умолчанию общеизвестны и являются одним из первых вариантов, которые пробуют злоумышленники. Надёжный уникальный пароль для интерфейса администратора роутера значительно повышает барьер для входа.

Используйте VPN с защитой от утечек DNS. VPN направляет ваш трафик, включая DNS-запросы, через зашифрованный туннель на серверы за пределами вашей локальной сети. Даже если DNS вашего роутера был подменён, VPN с надлежащей защитой от утечек DNS гарантирует, что ваши запросы будут разрешаться серверами провайдера VPN, а не серверами злоумышленника. Это не делает скомпрометированный роутер безопасным, однако существенно ограничивает то, что злоумышленник может наблюдать или перехватывать.

Рассмотрите возможность самостоятельного использования зашифрованного DNS. Сервисы с поддержкой DNS поверх HTTPS (DoH) или DNS поверх TLS (DoT) шифруют ваши DNS-запросы даже без VPN, что существенно затрудняет их перехват или перенаправление.

Кампания Forest Blizzard напоминает о том, что сетевая безопасность начинается с роутера. Устройства, соединяющие ваш дом или офис с интернетом, заслуживают такого же внимания, как компьютеры и телефоны на вашем столе. Своевременное обновление, правильная настройка и мониторинг этих устройств — не дополнительная мера, а фундамент, на котором держится всё остальное. Если вы давно не проверяли настройки роутера, сейчас самое время это сделать.