Britské Národné centrum kybernetickej bezpečnosti varovalo pred novou kampaňou ruskej skupiny APT28, ktorá zneužíva zraniteľné domáce a malé firemné routery. Cieľom nie je len prístup k samotnému zariadeniu, ale najmä prepísanie DNS nastavení, cez ktoré sa následne dá odchytávať časť internetovej prevádzky a získavať prihlasovacie údaje aj autentifikačné tokeny k e-mailovým a webovým službám. NCSC pritom skupinu APT28 spája s ruskou vojenskou rozviedkou GRU, konkrétne s jednotkou 26165.
Podstata útoku je v tom, že po napadnutí routera útočníci zmenia DHCP a DNS konfiguráciu. Zariadenia v sieti, teda notebooky, mobily či ďalšia elektronika, potom automaticky začnú používať DNS servery pod kontrolou útočníka. Väčšina bežnej prevádzky sa ďalej prekladá správne, aby používateľ nič nespozoroval. Pri vybraných cieľoch však útočníci vrátia inú odpoveď a presmerujú obeť na vlastnú infraštruktúru, kde sa snažia zachytiť prihlasovanie alebo tokeny z webových aj desktopových aplikácií.
Medzi sledované služby patria aj adresy spojené s Outlookom a Microsoft 365, napríklad outlook.live.com, outlook.office.com, outlook.office365.com, autodiscover-s.outlook.com či imap-mail.outlook.com. Útok tak nemieri len na samotný router, ale na všetko, čo cezňho komunikuje. To je dôvod, prečo ide o nebezpečnejší scenár než bežné napadnutie jedného počítača. Ak je kompromitovaný sieťový bod, problém sa môže týkať celej siete naraz.
NCSC menovite spomína router TP-Link WR841N, pri ktorom mali útočníci zneužívať chybu CVE-2023-50224. Tá im podľa varovania umožnila získať prihlasovacie údaje a následne prepísať DNS nastavenia. Zoznam zasiahnutých modelov je však širší a zahŕňa viac než dve desiatky zariadení TP-Linku, vrátane Archer C5 a C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 LTE a viacerých variantov sérií WR740N, WR840N, WR841N, WR842N, WR845N či WR941ND. Druhá časť kampane sa týkala aj routerov MikroTik, pričom niektoré z nich sa nachádzali aj na Ukrajine a mali mať spravodajskú hodnotu.
Konkrétne hacknuteľné sú minimálne routery:
- TP-LINK LTE WIRELESS N ROUTER MR6400
- TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C5
- TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER ARCHER C7
- TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR3600
- TP-LINK WIRELESS DUAL BAND GIGABIT ROUTER WDR4300
- TP-LINK WIRELESS DUAL BAND ROUTER WDR3500
- TP-LINK WIRELESS LITE N ROUTER WR740N
- TP-LINK WIRELESS LITE N ROUTER WR740N/WR741ND
- TP-LINK WIRELESS LITE N ROUTER WR749N
- TP-LINK WIRELESS N 3G/4G ROUTER MR3420
- TP-LINK WIRELESS N ACCESS POINT WA801ND
- TP-LINK WIRELESS N ACCESS POINT WA901ND
- TP-LINK WIRELESS N GIGABIT ROUTER WR1043ND
- TP-LINK WIRELESS N GIGABIT ROUTER WR1045ND
- TP-LINK WIRELESS N ROUTER WR840N
- TP-LINK WIRELESS N ROUTER WR841HP
- TP-LINK WIRELESS N ROUTER WR841N
- TP-LINK WIRELESS N ROUTER WR841N/WR841ND
- TP-LINK WIRELESS N ROUTER WR842N
- TP-LINK WIRELESS N ROUTER WR842ND
- TP-LINK WIRELESS N ROUTER WR845N
- TP-LINK WIRELESS N ROUTER WR941ND
- TP-LINK WIRELESS N ROUTER WR945N
Podľa britského úradu ide o oportunistickú operáciu. Útočníci najprv zasahujú široké spektrum zraniteľných routerov a až následne si z vybraných sietí filtrujú zaujímavé ciele. Reuters doplnil, že nemecké úrady hovoria o niekoľkých tisícoch kompromitovaných routerov vo svete, z toho asi 30 prípadov zaznamenali priamo v Nemecku. Americké ministerstvo spravodlivosti medzitým oznámilo zásah proti tejto DNS infraštruktúre a uviedlo, že išlo o sieť kontrolovanú ruskou vojenskou jednotkou.
Pre používateľov aj menšie firmy z toho vyplýva celkom jasné odporúčanie. Router by nemal mať administračné rozhranie dostupné z internetu, mal by mať aktuálny firmware a zmenené predvolené prihlasovacie údaje. Dôležité je tiež zapnúť viacfaktorové overenie na e-mailových a pracovných účtoch, pretože útočníci sa nesnažia získať len heslá, ale aj tokeny, ktoré im môžu otvoriť dvere bez klasického opakovaného prihlasovania. Pri starších nepodporovaných modeloch môže byť najrozumnejším riešením výmena zariadenia, keďže práve takéto routery sa často menia na tichý vstupný bod do celej siete.
Komentáre