Російські хакери захоплюють налаштування DNS домашніх роутерів

Російські військові хакери атакують домашні та офісні роутери

За даними нових досліджень фахівців із кібербезпеки, витончена кампанія з перехоплення DNS, пов'язана з російськими військовими, скомпрометувала понад 5 000 споживчих пристроїв і більш ніж 200 організацій. Загроза, що стоїть за цими атаками, відома під назвою Forest Blizzard (також відстежується як APT28 або Strontium), пов'язана з російською військовою розвідкою та роками бере участь у резонансних зломах.

Метод атаки є простим, але надзвичайно ефективним. Замість того щоб атакувати окремі комп'ютери чи телефони безпосередньо, група змінює налаштування DNS на домашніх роутерах і роутерах малого офісу. Після того як роутер скомпрометовано, кожен підключений до нього пристрій — ноутбуки, телефони, смарт-телевізори, робочі комп'ютери — стає потенційною ціллю.

Як насправді працює перехоплення DNS

DNS, або система доменних імен, інколи описується як телефонна книга інтернету. Коли ви вводите адресу вебсайту у браузер, ваш пристрій надсилає запит до DNS-сервера, щоб знайти числову IP-адресу, необхідну для підключення. За звичайних обставин цей запит надходить до надійного DNS-сервера — часто того, що надається вашим інтернет-провайдером.

Коли зловмисники змінюють конфігурацію DNS роутера, вони перенаправляють ці запити на сервери, якими керують самі. Таким чином вони можуть бачити, які саме сайти ви намагаєтеся відвідати, а в деяких випадках — перехоплювати реальний трафік. Дослідники виявили, що цей метод дав змогу Forest Blizzard отримувати дані у відкритому вигляді, зокрема електронні листи та облікові дані для входу, з пристроїв, підключених до скомпрометованих роутерів.

Це особливо тривожно, оскільки багато користувачів вважають свої комунікації захищеними лише тому, що користуються сайтами з HTTPS або зашифрованими поштовими сервісами. Однак коли DNS перехоплено на рівні роутера, зловмисники отримують видимість потоків трафіку і за певних умов можуть позбавити його цього захисту.

Хто такий Forest Blizzard?

Forest Blizzard, також відомий під псевдонімами APT28 та Strontium, широко приписується агентству військової розвідки ГРУ Росії. Групу пов'язують з атаками на державні органи, підрядників оборонної галузі, політичні організації та критичну інфраструктуру в Європі та Північній Америці.

Ця кампанія є зміщенням тактики у бік споживчої інфраструктури. Домашні роутери та роутери малого офісу часто залишаються поза увагою з точки зору безпеки. Вони рідко отримують оновлення прошивки, нерідко працюють із заводськими обліковими даними і зазвичай не перебувають під наглядом команд ІТ-безпеки. Це робить їх привабливими точками входу для групи, яка прагне перехоплювати комунікації у великих масштабах.

Компрометація роутерів також дає зловмисникам можливість зберігати постійний доступ. Навіть якщо шкідливе програмне забезпечення буде видалено з окремого пристрою, скомпрометований роутер продовжуватиме перенаправляти трафік доти, доки сам роутер не буде очищено та переналаштовано.

Що це означає для вас

Якщо ви користуєтеся стандартним домашнім роутером або роутером малого офісу, ця кампанія безпосередньо стосується вас — навіть якщо ви не є державним службовцем чи ймовірною ціллю шпигунства. Масштаб атаки — понад 5 000 споживчих пристроїв — свідчить про те, що вибір цілей є широким, а не точковим.

У відповідь на цю новину варто вжити кілька практичних заходів.

Перевірте налаштування DNS вашого роутера. Увійдіть до панелі адміністратора роутера (як правило, за адресою 192.168.1.1 або 192.168.0.1) і переконайтеся, що вказані DNS-сервери є тими, яких ви впізнаєте та яким довіряєте. Якщо ви бачите незнайомі IP-адреси, які ви самі не встановлювали, — це тривожний сигнал.

Оновіть прошивку роутера. Виробники роутерів періодично випускають оновлення прошивки, що усувають уразливості безпеки. На багатьох роутерах є можливість перевірити наявність оновлень безпосередньо в панелі адміністратора. Якщо вашому роутеру кілька років і виробник більше не підтримує його, розгляньте можливість заміни.

Змініть стандартний пароль адміністратора роутера. Заводські облікові дані широко відомі та є одними з перших, які перевіряють зловмисники. Надійний унікальний пароль для інтерфейсу адміністратора роутера значно підвищує поріг доступу.

Використовуйте VPN із захистом від витоку DNS. VPN спрямовує ваш трафік, включно із DNS-запитами, через зашифрований тунель до серверів поза вашою локальною мережею. Навіть якщо DNS вашого роутера було змінено, VPN із належним захистом від витоку DNS гарантує, що ваші запити обробляються серверами провайдера VPN, а не серверами зловмисника. Це не робить скомпрометований роутер безпечним, але суттєво обмежує те, що зловмисник може спостерігати або перехопити.

Розгляньте можливість самостійного використання зашифрованого DNS. Сервіси, що підтримують DNS через HTTPS (DoH) або DNS через TLS (DoT), шифрують ваші DNS-запити навіть без VPN, ускладнюючи їх перехоплення або перенаправлення.

Кампанія Forest Blizzard нагадує, що мережева безпека починається з роутера. Пристрої, які з'єднують ваш дім чи офіс з інтернетом, заслуговують на таку саму увагу, як і комп'ютери та телефони на вашому столі. Їх регулярне оновлення, належне налаштування та моніторинг — це не опція, а фундамент, на якому тримається все інше. Якщо ви давно не переглядали налаштування роутера, зараз — найкращий час розпочати.