APT28 атакует роутеры для перехвата данных через подмену DNS

Группа APT28, также известная как Forest Blizzard, Fancy Bear и STRONTIUM, обладает высокой технической квалификацией и долгой историей целевых операций. Ранее ей приписывались атаки на немецкий парламент в 2015 году и попытка взлома Организации по запрещению химического оружия в 2018-м. Нынешняя кампания, наблюдаемая с 2024 года, демонстрирует эволюцию её методов в сторону более масштабных и автоматизированных атак на инфраструктуру. Суть новой схемы заключается в перехвате управления DNS - системы, которая преобразует удобные для человека доменные имена в IP-адреса, понятные компьютерам. Подменив эти настройки на роутере, злоумышленники могут незаметно перенаправлять пользователя на контролируемые ими серверы.

Механизм атаки начинается с эксплуатации публично известных уязвимостей в маршрутизаторах для малого офиса и дома. Одной из ключевых точек входа стал недостаток в роутерах TP-Link WR841N, обозначенный как CVE-2023-50224. Эта уязвимость позволяет неавторизованному злоумышленнику получать учётные данные администратора устройства через специально сформированные HTTP-запросы. Получив доступ к панели управления, APT28 изменяет настройки DHCP, протокола, автоматически раздающего сетевые параметры устройствам в локальной сети. В частности, подменяются адреса DNS-серверов на контролируемые хакерами. В результате все устройства, подключающиеся к такому роутеру - ноутбуки, телефоны, умная техника, - начинают неявно отправлять запросы о разрешении доменных имён на серверы противника.

Далее начинается этап фильтрации и целевого перехвата. Зловредные DNS-серверы, развёрнутые на арендованных виртуальных частных серверах, настроены на избирательное реагирование. Если пользователь пытается зайти на популярный почтовый сервис, например, на домены, связанные с Outlook, запрос перенаправляется на инфраструктуру для проведения атаки "злоумышленник в середине". В противном случае запрос разрешается корректно, что маскирует присутствие злоумышленников в сети. Атака "злоумышленник в середине" позволяет APT28 в реальном времени перехватывать незашифрованные сессии аутентификации, красть пароли и, что особенно опасно, токены OAuth. Последние представляют собой цифровые ключи, которые приложения используют для авторизации без постоянного ввода пароля, и их компрометация даёт долгосрочный доступ к аккаунтам даже после смены пароля.

Примечательно, что NCSC оценивает эти операции как оппортунистические по своей природе. Это означает, что группировка сначала получает доступ к широкому пулу потенциальных жертв через массовую эксплуатацию уязвимых роутеров, а затем, подобно ситу, отсеивает трафик, оставляя для дальнейшей атаки только тех пользователей, которые представляют наибольший интерес для разведки. Такой подход делает кампанию одновременно масштабной и целенаправленной. Помимо TP-Link, в списке целевых устройств значатся модели MikroTik, причём часть инфраструктуры была задействована в интерактивных операциях против роутеров, расположенных в Украине.

Последствия успешной атаки выходят далеко за рамки простой кражи паролей. Перехваченные учетные данные для корпоративной почты и облачных сервисов открывают путь к фишинговым рассылкам от лица доверенных сотрудников, хищению коммерческой тайны, манипуляции с финансовыми документами и, в конечном итоге, к полному компрометированию сети организации. Более того, украденные токены OAuth могут быть использованы для доступа к другим связанным сервисам, расширяя периметр атаки. Учитывая, что многие сотрудники используют корпоративные устройства в домашних сетях, риск проникновения угрозы из скомпрометированного домашнего роутера в защищённую корпоративную среду становится весьма реальным.

Эксперты по безопасности отмечают, что борьба с подобными атаками требует комплексного подхода. Ключевые рекомендации включают в себя обязательное обновление прошивок сетевого оборудования, отказ от использования стандартных учётных данных администратора, применение многофакторной аутентификации для всех критичных сервисов и мониторинг сетевого трафика на предмет аномальных DNS-запросов. Организациям также стоит рассмотреть использование защищённых DNS-резолверов и технологий шифрования DNS-трафика. Опубликованный отчёт NCSC содержит конкретные индикаторы компрометации, включая IP-адреса вредоносных серверов и шаблоны их работы, которые могут помочь специалистам по защите информации в обнаружении подобной активности в своих сетях. Очевидно, что атаки на периферийное сетевое оборудование становятся излюбленным инструментом государственных хакерских групп, что требует от компаний и частных лиц повышенного внимания к безопасности, казалось бы, простых домашних маршрутизаторов.

IPv4

• 103.140.186.148
• 103.140.186.149
• 103.140.186.155
• 185.117.88.22
• 185.117.88.28
• 185.117.88.29
• 185.117.88.30
• 185.117.88.31
• 185.117.88.50
• 185.117.88.60
• 185.117.88.61
• 185.117.88.62
• 185.117.89.32
• 185.117.89.46
• 185.117.89.47
• 185.234.73.58
• 185.234.73.61
• 185.234.73.62
• 185.237.166.224
• 185.237.166.225
• 185.237.166.226
• 185.237.166.227
• 185.237.166.228
• 185.237.166.229
• 185.237.166.230
• 185.237.166.231
• 185.237.166.232
• 185.237.166.233
• 185.237.166.234
• 185.237.166.235
• 185.237.166.236
• 185.237.166.237
• 185.237.166.238
• 185.237.166.239
• 185.237.166.240
• 185.237.166.241
• 185.237.166.242
• 185.237.166.243
• 185.237.166.244
• 185.237.166.245
• 185.237.166.246
• 185.237.166.247
• 185.237.166.248
• 185.237.166.249
• 185.237.166.55
• 185.237.166.56
• 185.237.166.57
• 185.237.166.58
• 185.237.166.59
• 185.237.166.60
• 185.237.166.61
• 185.237.166.62
• 185.237.166.63
• 185.237.166.64
• 185.237.166.65
• 185.237.166.66
• 185.237.166.67
• 185.237.166.68
• 185.237.166.69
• 185.237.166.70
• 185.237.166.71
• 185.237.166.72
• 185.237.166.73
• 185.237.166.74
• 185.237.166.75
• 23.106.120.119
• 37.221.64.101
• 37.221.64.116
• 37.221.64.131
• 37.221.64.148
• 37.221.64.149
• 37.221.64.150
• 37.221.64.151
• 37.221.64.163
• 37.221.64.173
• 37.221.64.199
• 37.221.64.208
• 37.221.64.224
• 37.221.64.254
• 37.221.64.77
• 37.221.64.78
• 37.221.64.93
• 5.226.137.151
• 5.226.137.230
• 5.226.137.231
• 5.226.137.232
• 5.226.137.234
• 5.226.137.235
• 5.226.137.242
• 5.226.137.243
• 5.226.137.244
• 5.226.137.245
• 64.120.31.100
• 64.120.31.96
• 64.120.31.97
• 64.120.31.98
• 64.120.31.99
• 64.44.154.227
• 64.44.154.237
• 64.44.154.238
• 64.44.154.239
• 64.44.154.240
• 77.83.197.37
• 77.83.197.38
• 77.83.197.39
• 77.83.197.40
• 77.83.197.41
• 77.83.197.42
• 77.83.197.43
• 77.83.197.44
• 77.83.197.45
• 77.83.197.46
• 77.83.197.47
• 77.83.197.48
• 77.83.197.49
• 77.83.197.50
• 77.83.197.51
• 77.83.197.52
• 77.83.197.53
• 77.83.197.54
• 77.83.197.55
• 77.83.197.56
• 77.83.197.57
• 77.83.197.58
• 77.83.197.59
• 77.83.197.60
• 77.83.198.39
• 79.141.160.78
• 79.141.161.66
• 79.141.161.67
• 79.141.161.68
• 79.141.161.69
• 79.141.161.70
• 79.141.161.71
• 79.141.161.72
• 79.141.161.73
• 79.141.161.74
• 79.141.161.75
• 79.141.161.76
• 79.141.161.77
• 79.141.161.78
• 79.141.161.79
• 79.141.161.80
• 79.141.161.81
• 79.141.161.82
• 79.141.161.83
• 79.141.161.84
• 79.141.161.85
• 79.141.173.103
• 79.141.173.119
• 79.141.173.120
• 79.141.173.121
• 79.141.173.122
• 79.141.173.123
• 79.141.173.200
• 79.141.173.210
• 79.141.173.211
• 79.141.173.231
• 79.141.173.232
• 79.141.173.233
• 79.141.173.246
• 79.141.173.247
• 79.141.173.248
• 79.141.173.249
• 79.141.173.250
• 79.141.173.251
• 79.141.173.252
• 79.141.173.253
• 79.141.173.254
• 79.141.173.70
• 79.141.173.96
• 79.141.173.97
• 79.141.173.98
• 79.143.87.229
• 79.143.87.232
• 79.143.87.240
• 79.143.87.243
• 79.143.87.249
• 88.80.148.49
• 88.80.148.53
• 89.150.40.43
• 89.150.40.86