แฮกเกอร์ทางการทหารรัสเซียเล็งเป้าเราเตอร์บ้านและสำนักงาน
แคมเปญการโจมตีแบบ DNS hijacking ที่ซับซ้อน ซึ่งเชื่อมโยงกับกองทัพรัสเซีย ได้เข้าควบคุมอุปกรณ์ผู้บริโภคมากกว่า 5,000 เครื่อง และองค์กรกว่า 200 แห่ง ตามรายงานล่าสุดจากนักวิจัยด้านความปลอดภัยไซเบอร์ ผู้ก่อภัยคุกคามที่อยู่เบื้องหลังการโจมตีครั้งนี้รู้จักกันในชื่อ Forest Blizzard (หรือที่ติดตามในชื่อ APT28 หรือ Strontium) มีความเชื่อมโยงกับหน่วยข่าวกรองทางทหารของรัสเซีย และมีประวัติการบุกรุกระดับสูงมาเป็นเวลาหลายปีแล้ว
วิธีการโจมตีนั้นตรงไปตรงมาแต่มีประสิทธิภาพสูง แทนที่จะมุ่งเป้าไปที่คอมพิวเตอร์หรือโทรศัพท์แต่ละเครื่องโดยตรง กลุ่มนี้เลือกแก้ไขการตั้งค่า DNS บนเราเตอร์ตามบ้านและสำนักงานขนาดเล็ก เมื่อเราเตอร์ถูกเข้าควบคุมแล้ว อุปกรณ์ทุกชิ้นที่เชื่อมต่ออยู่ ไม่ว่าจะเป็นแล็ปท็อป โทรศัพท์ สมาร์ททีวี หรือคอมพิวเตอร์สำหรับทำงาน ต่างก็กลายเป็นเป้าหมายที่อาจถูกโจมตีได้ทั้งสิ้น
DNS Hijacking ทำงานอย่างไรกันแน่
DNS หรือ Domain Name System มักถูกอธิบายว่าเป็นเหมือนสมุดโทรศัพท์ของอินเทอร์เน็ต เมื่อคุณพิมพ์ที่อยู่เว็บไซต์ลงในเบราว์เซอร์ อุปกรณ์ของคุณจะส่งคำขอไปยัง DNS เซิร์ฟเวอร์เพื่อค้นหาหมายเลข IP ที่ต้องการสำหรับการเชื่อมต่อ ภายใต้สถานการณ์ปกติ คำขอนั้นจะถูกส่งไปยัง DNS เซิร์ฟเวอร์ที่เชื่อถือได้ ซึ่งมักเป็นเซิร์ฟเวอร์ที่ผู้ให้บริการอินเทอร์เน็ตของคุณจัดให้
เมื่อผู้โจมตีแก้ไขการตั้งค่า DNS ของเราเตอร์ พวกเขาจะเปลี่ยนเส้นทางคำขอเหล่านั้นไปยังเซิร์ฟเวอร์ที่ตนควบคุม จากนั้นพวกเขาสามารถเห็นได้อย่างชัดเจนว่าคุณกำลังพยายามเข้าชมเว็บไซต์ใด และในบางกรณียังสามารถดักจับการรับส่งข้อมูลจริงได้อีกด้วย นักวิจัยพบว่าวิธีนี้ทำให้ Forest Blizzard สามารถดักจับข้อมูลแบบ plaintext ได้ รวมถึงอีเมลและข้อมูลรับรองการเข้าสู่ระบบจากอุปกรณ์ที่เชื่อมต่อกับเราเตอร์ที่ถูกเข้าควบคุม
เรื่องนี้น่าเป็นห่วงเป็นพิเศษ เพราะผู้ใช้จำนวนมากคิดว่าการสื่อสารของตนได้รับการปกป้องแล้ว เพียงแค่ใช้เว็บไซต์ HTTPS หรือบริการอีเมลที่เข้ารหัส แต่เมื่อ DNS ถูกแย่งควบคุมที่ระดับเราเตอร์ ผู้โจมตีสามารถมองเห็นการไหลของข้อมูลและในบางเงื่อนไขสามารถลบการป้องกันเหล่านั้นออกได้
Forest Blizzard คือใคร?
Forest Blizzard หรือที่รู้จักในนาม APT28 และ Strontium ถูกระบุอย่างกว้างขวางว่ามีความเชื่อมโยงกับหน่วยข่าวกรองทางทหาร GRU ของรัสเซีย กลุ่มนี้มีประวัติเชื่อมโยงกับการโจมตีหน่วยงานภาครัฐ ผู้รับเหมาด้านกลาโหม องค์กรทางการเมือง และโครงสร้างพื้นฐานสำคัญทั่วยุโรปและอเมริกาเหนือ
แคมเปญนี้แสดงให้เห็นการเปลี่ยนแปลงกลยุทธ์ไปสู่การมุ่งเป้าโครงสร้างพื้นฐานระดับผู้บริโภค เราเตอร์ตามบ้านและสำนักงานขนาดเล็กมักถูกมองข้ามในแง่ของความปลอดภัย อุปกรณ์เหล่านี้แทบไม่ได้รับการอัปเดตเฟิร์มแวร์ มักใช้ข้อมูลรับรองเริ่มต้น และโดยทั่วไปไม่ได้รับการติดตามจากทีมรักษาความปลอดภัยด้านไอที ทำให้กลายเป็นจุดเข้าที่น่าดึงดูดสำหรับกลุ่มที่ต้องการดักจับการสื่อสารในวงกว้าง
การเข้าควบคุมเราเตอร์ยังช่วยให้ผู้โจมตีสามารถรักษาการเข้าถึงได้อย่างต่อเนื่อง แม้ว่ามัลแวร์จะถูกลบออกจากอุปกรณ์แต่ละเครื่องแล้ว เราเตอร์ที่ถูกเข้าควบคุมก็ยังคงเปลี่ยนเส้นทางการรับส่งข้อมูลต่อไป จนกว่าตัวเราเตอร์เองจะได้รับการล้างข้อมูลและกำหนดค่าใหม่
สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ
หากคุณใช้เราเตอร์บ้านหรือสำนักงานขนาดเล็กทั่วไป แคมเปญนี้เกี่ยวข้องกับคุณโดยตรง แม้ว่าคุณจะไม่ได้เป็นพนักงานรัฐบาลหรือเป้าหมายของการจารกรรมก็ตาม ขนาดของการโจมตีที่ครอบคลุมอุปกรณ์ผู้บริโภคมากกว่า 5,000 เครื่อง บ่งชี้ว่าการเลือกเป้าหมายนั้นกว้างขวาง ไม่ใช่เจาะจงแต่ละราย
มีขั้นตอนปฏิบัติหลายอย่างที่ควรดำเนินการเพื่อรับมือกับข่าวนี้
ตรวจสอบการตั้งค่า DNS ของเราเตอร์ เข้าสู่แผงควบคุมผู้ดูแลระบบของเราเตอร์ (โดยทั่วไปที่ 192.168.1.1 หรือ 192.168.0.1) และตรวจสอบว่า DNS เซิร์ฟเวอร์ที่แสดงอยู่นั้นเป็นเซิร์ฟเวอร์ที่คุณจดจำได้และไว้วางใจ หากพบหมายเลข IP ที่ไม่คุ้นเคยและคุณไม่ได้ตั้งค่าเองนั้นถือเป็นสัญญาณเตือนภัย
อัปเดตเฟิร์มแวร์ของเราเตอร์ ผู้ผลิตเราเตอร์ออกอัปเดตเฟิร์มแวร์เป็นระยะเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย เราเตอร์หลายรุ่นมีตัวเลือกตรวจสอบการอัปเดตได้โดยตรงในแผงควบคุม หากเราเตอร์ของคุณมีอายุหลายปีและผู้ผลิตหยุดให้การสนับสนุนแล้ว ควรพิจารณาเปลี่ยนใหม่
เปลี่ยนรหัสผ่านผู้ดูแลระบบเริ่มต้นของเราเตอร์ ข้อมูลรับรองเริ่มต้นถูกเผยแพร่อย่างกว้างขวางและเป็นสิ่งแรกที่ผู้โจมตีมักลองใช้ รหัสผ่านที่แข็งแกร่งและไม่ซ้ำใครสำหรับอินเทอร์เฟซผู้ดูแลระบบของเราเตอร์จะช่วยเพิ่มอุปสรรคในการเข้าถึงได้อย่างมีนัยสำคัญ
ใช้ VPN ที่มีการป้องกัน DNS leak VPN จะเปลี่ยนเส้นทางการรับส่งข้อมูลของคุณ รวมถึงคำขอ DNS ผ่านอุโมงค์ที่เข้ารหัสไปยังเซิร์ฟเวอร์ภายนอกเครือข่ายท้องถิ่นของคุณ แม้ว่า DNS ของเราเตอร์จะถูกดัดแปลงแล้ว VPN ที่มีการป้องกัน DNS leak ที่เหมาะสมก็จะทำให้มั่นใจได้ว่าคำขอของคุณจะถูกแก้ไขโดยเซิร์ฟเวอร์ของผู้ให้บริการ VPN แทนที่จะเป็นของผู้โจมตี วิธีนี้ไม่ได้ทำให้เราเตอร์ที่ถูกเข้าควบคุมปลอดภัย แต่จำกัดสิ่งที่ผู้โจมตีสามารถสังเกตหรือดักจับได้อย่างมีนัยสำคัญ
พิจารณาใช้ DNS ที่เข้ารหัสโดยอิสระ บริการที่รองรับ DNS over HTTPS (DoH) หรือ DNS over TLS (DoT) จะเข้ารหัสคำขอ DNS ของคุณแม้ไม่มี VPN ทำให้ยากต่อการดักจับหรือเปลี่ยนเส้นทาง
แคมเปญของ Forest Blizzard เป็นเครื่องเตือนใจว่าความปลอดภัยของเครือข่ายเริ่มต้นที่เราเตอร์ อุปกรณ์ที่เชื่อมต่อบ้านหรือสำนักงานของคุณกับอินเทอร์เน็ตสมควรได้รับความใส่ใจเท่าเทียมกับคอมพิวเตอร์และโทรศัพท์บนโต๊ะทำงานของคุณ การดูแลให้อุปกรณ์เหล่านี้ได้รับการอัปเดต กำหนดค่าอย่างถูกต้อง และได้รับการติดตามดูแลไม่ใช่เรื่องเลือกได้ แต่เป็นรากฐานที่ทุกสิ่งทุกอย่างต้องพึ่งพา หากคุณยังไม่ได้ตรวจสอบการตั้งค่าเราเตอร์เมื่อเร็วๆ นี้ ถึงเวลาแล้วที่จะเริ่มต้น
