APT28 заменяет маршрутизаторы TP-Link и MikroTik. NCSC предостерегает от перехвата DNS и кражи паролей
Домашние роутеры обычно исчезают из поля зрения пользователей сразу после их первой настройки. И именно поэтому они могут быть такой удобной мишенью для хакеров. Британский NCSC описал кампанию группы APT28, связанной с ГРУ, в которой атака начинается не с открытия подозрительного письма, а с молчаливого изменения настроек DNS. Остальное происходит на уровне всей сети, и пользователь часто видит только одно предупреждение о сертификате.
Самое опасное в этой хакерской кампании — не сам взлом маршрутизатора, а тот факт, что он незаметно отравляет всю стоящую за ним сеть.
Одна ошибка в VRAM и система пропала? Новая атака на карты NVIDIA выглядит гораздо опаснее, чем следует из названия
На этот раз хакерская атака, приписываемая группе APT28, связана не с впечатляющим вредоносным ПО, а со старым, чрезвычайно эффективным трюком, реализованным на другом уровне. APT28, группа, связанная с российским ГРУ, захватила уязвимые маршрутизаторы SOHO, в основном TP-Link и MikroTik, и изменила настройки DHCP и DNS. На практике весь трафик с ноутбуков, телефонов и других устройств сначала попадал на серверы, контролируемые злоумышленниками. Если жертва проигнорировала ошибку TLS, злоумышленники могли просмотреть пароли, токены OAuth, почту и сеансы входа в систему. Microsoft заявляет, что кампания затронула более 200 организаций и 5000 потребительских устройств.
Хакеры могут получить полный контроль над вашим сервером с помощью дешевого аксессуара. Уровень уязвимостей CVSS вызывает тревогу
Это плохая новость для пользователя, ведь традиционного мышления о безопасности здесь недостаточно. Даже правильно работающий браузер и HTTPS-шифрование не помогают, когда отравленный DNS направляет трафик в скомпрометированную инфраструктуру. По сравнению с классическим фишингом эта модель более опасна, поскольку нацелена не на одну жертву, а на всю сеть за взломанным маршрутизатором. О таком запущенном оборудовании мы писали много лет назад по поводу серьезных уязвимостей в роутерах TP-Link, а недавно вернулись к теме с работой WrtHug на устройствах ASUS. Вывод прост. Домашний роутер превратился в полноценное поле разведки. В долгосрочной перспективе это приведет к более быстрой замене оборудования без поддержки, большей осторожности с предупреждениями о сертификатах и отказу от обращения с маршрутизатором как с коробкой, о которой вспоминают только тогда, когда исчезает Интернет.
Источник: Национальный центр кибербезопасности, блог Microsoft Security, Министерство юстиции США, Центр рассмотрения жалоб на интернет-преступления ФБР.
