Ryska hackare kapar DNS-inställningar i hemmaroutrar

Ryska militärhackare riktar in sig på hem- och kontorsroutrar

En sofistikerad DNS-kapningskampanj kopplad till den ryska militären har komprometterat mer än 5 000 konsumentenheter och över 200 organisationer, enligt nya uppgifter från cybersäkerhetsforskare. Hotaktören bakom attackerna, känd som Forest Blizzard (även spårad som APT28 eller Strontium), har kopplingar till rysk militär underrättelsetjänst och har under flera år varit aktiv i uppmärksammade intrång.

Attackmetoden är enkel men mycket effektiv. Istället för att direkt rikta in sig på enskilda datorer eller telefoner modifierar gruppen DNS-inställningarna på hem- och småkontorsroutrar. När en router väl är komprometterad blir varje enhet ansluten till den – bärbara datorer, telefoner, smarta TV-apparater, arbetsdatorer – ett potentiellt mål.

Hur DNS-kapning faktiskt fungerar

DNS, eller Domain Name System, beskrivs ibland som internets telefonbok. När du skriver in en webbadress i din webbläsare skickar din enhet en förfrågan till en DNS-server för att hitta den numeriska IP-adress den behöver för att ansluta. Under normala omständigheter går den förfrågan till en betrodd DNS-server, ofta en som tillhandahålls av din internetleverantör.

När angripare modifierar en routers DNS-konfiguration omdirigerar de dessa förfrågningar till servrar som de själva kontrollerar. Därifrån kan de se exakt vilka webbplatser du försöker besöka och i vissa fall avlyssna den faktiska trafiken. Forskarna fann att denna metod gjorde det möjligt för Forest Blizzard att fånga upp okrypterad data, inklusive e-post och inloggningsuppgifter, från enheter anslutna till de komprometterade routrarna.

Detta är särskilt oroande eftersom många användare utgår från att deras kommunikation är skyddad enbart för att de använder HTTPS-webbplatser eller krypterade e-posttjänster. Men när DNS kapas på routernivå får angripare insyn i trafikflöden och kan under vissa förhållanden ta bort det skyddet.

Vem är Forest Blizzard?

Forest Blizzard, även känd under aliaserna APT28 och Strontium, tillskrivs allmänt Rysslands militära underrättelseorgan GRU. Gruppen har kopplats till attacker mot statliga myndigheter, försvarsentreprenörer, politiska organisationer och kritisk infrastruktur i Europa och Nordamerika.

Den här kampanjen representerar ett taktikskifte mot konsumentbaserad infrastruktur. Hem- och småkontorsroutrar förbises ofta ur ett säkerhetsperspektiv. De får sällan firmware-uppdateringar, använder ofta standardinloggningsuppgifter och övervakas vanligtvis inte av IT-säkerhetsteam. Det gör dem till attraktiva ingångspunkter för en grupp som vill avlyssna kommunikation i stor skala.

Att kompromittera routrar ger också angripare möjlighet att behålla kontinuerlig åtkomst. Även om skadlig kod tas bort från en enskild enhet fortsätter en komprometterad router att omdirigera trafik tills routern själv rensas och konfigureras om.

Vad detta innebär för dig

Om du använder en vanlig hem- eller småkontorsrouter är den här kampanjen direkt relevant för dig, även om du inte är statsanställd eller ett sannolikt spionagemål. Attackens omfattning – mer än 5 000 konsumentenheter – tyder på att målinriktningen är bred snarare än kirurgisk.

Det finns flera praktiska åtgärder som är värda att vidta med anledning av den här nyheten.

Kontrollera din routers DNS-inställningar. Logga in på din routers adminpanel (vanligtvis på 192.168.1.1 eller 192.168.0.1) och verifiera att de listade DNS-servrarna är sådana du känner igen och litar på. Om du ser okända IP-adresser som du inte själv har ställt in är det en varningssignal.

Uppdatera din routers firmware. Routertillverkare släpper regelbundet firmware-uppdateringar som åtgärdar säkerhetsproblem. Många routrar har ett alternativ för att söka efter uppdateringar direkt i adminpanelen. Om din router är flera år gammal och tillverkaren inte längre stöder den bör du överväga att byta ut den.

Byt ut din routers standardlösenord för administratören. Standardinloggningsuppgifter är allmänt kända och är bland det första angripare provar. Ett starkt, unikt lösenord för din routers adminpanel höjer intrångströskeln avsevärt.

Använd ett VPN med DNS-läckageskydd. Ett VPN dirigerar din trafik, inklusive DNS-förfrågningar, genom en krypterad tunnel till servrar utanför ditt lokala nätverk. Även om din routers DNS har manipulerats säkerställer ett VPN med korrekt DNS-läckageskydd att dina förfrågningar löses av VPN-leverantörens servrar snarare än en angripares. Detta gör inte en komprometterad router säker, men begränsar avsevärt vad en angripare kan observera eller avlyssna.

Överväg att använda krypterad DNS på egen hand. Tjänster som stöder DNS över HTTPS (DoH) eller DNS över TLS (DoT) krypterar dina DNS-förfrågningar även utan ett VPN, vilket gör dem svårare att avlyssna eller omdirigera.

Forest Blizzard-kampanjen påminner oss om att nätverkssäkerhet börjar vid routern. De enheter som ansluter ditt hem eller kontor till internet förtjänar samma uppmärksamhet som datorerna och telefonerna på ditt skrivbord. Att hålla dem uppdaterade, korrekt konfigurerade och övervakade är inte valfritt – det är grunden som allt annat vilar på. Om du inte nyligen har granskat dina routerinställningar är det ett bra tillfälle att börja nu.