Хакеры APT28 взламывают роутеры TP-Link для перехвата трафика и кражи паролей через подмену DNS

APT

Британский Национальный центр кибербезопасности (NCSC) официально предупредил мировое сообщество о масштабной кампании, которую проводит известная группировка APT28. Речь идёт о перехвате управления маршрутизаторами. Злоумышленники меняют настройки протокола DHCP (протокол динамической настройки узла) и серверов DNS (система доменных имён) так, чтобы весь интернет-трафик жертв проходил через подконтрольные атакующим серверы. Это позволяет проводить наиболее опасный класс атак - "человек посередине" (AitM). Финал такой схемы всегда один: массовый перехват паролей, токенов OAuth (протокол для авторизации сторонних приложений) и других учётных данных к почтовым и веб-сервисам.

Описание

APT28, известная также под названиями Fancy Bear, STRONTIUM, Forest Blizzard или Sednit, уже давно заслужила репутацию одной из самых технически оснащённых хакерских структур в мире. За её плечами - атака на парламент Германии в 2015 году, попытка взлома Организации по запрещению химического оружия в 2018 году и множество других громких инцидентов. Теперь эксперты пришли к выводу, что с 2024 года и вплоть до 2026 года эта группировка занималась развёртыванием вредоносных DNS-серверов на арендованных виртуальных частных серверах (VPS). Аналитики NCSC в своём отчёте описали, как именно происходила эта операция.

Первый кластер атакующей инфраструктуры работал по простому, но эффективному сценарию. Злоумышленники находили уязвимые роутеры для дома и малого офиса (SOHO), чаще всего модели TP-Link WR841N. Для проникновения использовалась известная уязвимость CVE-2023-50224. Эта проблема безопасности позволяла неавторизованному злоумышленнику дистанционно получить пароль администратора от роутера с помощью специально сформированного HTTP-запроса. Получив доступ, хакеры меняли настройки DHCP - протокола, который раздаёт сетевым устройствам адреса и адреса DNS-серверов. В результате все ноутбуки, смартфоны и другая техника, подключённые к такому роутеру, начинали отправлять DNS-запросы на серверы, принадлежащие APT28.

Далее вступала в действие система фильтрации. Когда пользователь пытался зайти на сайт своей почты, социальной сети или на страницу авторизации какого-либо сервиса, вредоносный DNS-сервер перенаправлял его на поддельную страницу, также расположенную на мощностях хакеров. Запросы ко всем остальным сайтам проходили без изменений. Это делало атаку почти незаметной для обычного пользователя. После того как жертва вводила свои логин и пароль на подставной странице, эти данные уходили напрямую к злоумышленникам. Атаки "человек посередине" проводились как в веб-браузерах, так и в настольных приложениях. Особую опасность представляет перехват токенов OAuth - с их помощью злоумышленники могут получать доступ к учётным записям даже без ввода пароля, если на них уже настроена двухфакторная аутентификация.

Второй кластер серверов, обнаруженный специалистами, работал по более сложной схеме. Часть машин в нём получала DNS-запросы от взломанных роутеров MikroTik и TP-Link, а затем перенаправляла их на другие, удалённые серверы, также подконтрольные группировке. Примечательно, что эта инфраструктура использовалась для точечных операций против небольшого числа устройств MikroTik, расположенных в основном на территории Украины. Очевидно, что эти цели представляли для разведки особый интерес.

Важно понимать, что кампания носила массовый и во многом оппортунистический характер. Злоумышленники атаковали широкий круг организаций и пользователей, а затем на каждом этапе цепочки эксплуатации отсеивали тех, кто не представлял разведывательной ценности. Оставшиеся жертвы подвергались более детальной атаке. Такой подход делает защиту особенно сложной, ведь единичный факт заражения роутера может долгое время оставаться незамеченным.

Список взломанных моделей устройств, который приводится в отчёте NCSC, включает не только TP-Link WR841N. Среди целей операторы APT28 числят десятки моделей, от бюджетных WR740N и WR941ND до более производительных двухдиапазонных маршрутизаторов ARCHER C5 и ARCHER C7. Каждая из этих моделей имеет свою версию прошивки, и далеко не на все из них производитель выпустил обновления безопасности. Специалисты подчёркивают, что перечень не является исчерпывающим - под ударом могут оказаться и другие устройства этой марки.

Для обнаружения следов компрометации NCSC рекомендует обращать внимание на нестандартные баннеры на сетевых портах. В ходе расследования были выявлены два повторяющихся шаблона. В первом случае на взломанных серверах на порту TCP 56777 был открыт SSH, а на порту UDP 53 отвечала утилита dnsmasq версии 2.85. Во втором случае порт SSH менялся на 35681, а программное обеспечение DNS присутствовало уже не на всех машинах. Эти косвенные признаки могут помочь администраторам выявить работу вредоносных DNS-резолверов в своей сети.

С учётом масштабов кампании эксперты советуют всем организациям немедленно провести аудит настроек своих роутеров, особенно моделей TP-Link. Крайне важно сменить стандартные пароли администратора и отключить удалённое управление устройством, если оно не является критически необходимым. Обновление прошивки - обязательная мера, но далеко не достаточная. Главный вывод из доклада NCSC состоит в том, что атаки на уровне сетевой инфраструктуры становятся всё более изощрёнными. Перехват DNS-трафика - это лишь первый шаг к полной компрометации корпоративных сетей и краже самых ценных данных. Игнорировать угрозу уже нельзя.

Индикаторы компрометации

IPv4

  • 103.140.186.148
  • 103.140.186.149
  • 103.140.186.155
  • 185.117.88.22
  • 185.117.88.28
  • 185.117.88.29
  • 185.117.88.30
  • 185.117.88.31
  • 185.117.88.50
  • 185.117.88.60
  • 185.117.88.61
  • 185.117.88.62
  • 185.117.89.32
  • 185.117.89.46
  • 185.117.89.47
  • 185.234.73.58
  • 185.234.73.61
  • 185.234.73.62
  • 185.237.166.224
  • 185.237.166.225
  • 185.237.166.226
  • 185.237.166.227
  • 185.237.166.228
  • 185.237.166.229
  • 185.237.166.230
  • 185.237.166.231
  • 185.237.166.232
  • 185.237.166.233
  • 185.237.166.234
  • 185.237.166.235
  • 185.237.166.236
  • 185.237.166.237
  • 185.237.166.238
  • 185.237.166.239
  • 185.237.166.240
  • 185.237.166.241
  • 185.237.166.242
  • 185.237.166.243
  • 185.237.166.244
  • 185.237.166.245
  • 185.237.166.246
  • 185.237.166.247
  • 185.237.166.248
  • 185.237.166.249
  • 185.237.166.55
  • 185.237.166.56
  • 185.237.166.57
  • 185.237.166.58
  • 185.237.166.59
  • 185.237.166.60
  • 185.237.166.61
  • 185.237.166.62
  • 185.237.166.63
  • 185.237.166.64
  • 185.237.166.65
  • 185.237.166.66
  • 185.237.166.67
  • 185.237.166.68
  • 185.237.166.69
  • 185.237.166.70
  • 185.237.166.71
  • 185.237.166.72
  • 185.237.166.73
  • 185.237.166.74
  • 185.237.166.75
  • 23.106.120.119
  • 37.221.64.101
  • 37.221.64.116
  • 37.221.64.131
  • 37.221.64.148
  • 37.221.64.149
  • 37.221.64.150
  • 37.221.64.151
  • 37.221.64.163
  • 37.221.64.173
  • 37.221.64.199
  • 37.221.64.208
  • 37.221.64.224
  • 37.221.64.254
  • 37.221.64.77
  • 37.221.64.78
  • 37.221.64.93
  • 5.226.137.151
  • 5.226.137.230
  • 5.226.137.231
  • 5.226.137.232
  • 5.226.137.234
  • 5.226.137.235
  • 5.226.137.242
  • 5.226.137.243
  • 5.226.137.244
  • 5.226.137.245
  • 64.120.31.100
  • 64.120.31.96
  • 64.120.31.97
  • 64.120.31.98
  • 64.120.31.99
  • 64.44.154.227
  • 64.44.154.237
  • 64.44.154.238
  • 64.44.154.239
  • 64.44.154.240
  • 77.83.197.37
  • 77.83.197.38
  • 77.83.197.39
  • 77.83.197.40
  • 77.83.197.41
  • 77.83.197.42
  • 77.83.197.43
  • 77.83.197.44
  • 77.83.197.45
  • 77.83.197.46
  • 77.83.197.47
  • 77.83.197.48
  • 77.83.197.49
  • 77.83.197.50
  • 77.83.197.51
  • 77.83.197.52
  • 77.83.197.53
  • 77.83.197.54
  • 77.83.197.55
  • 77.83.197.56
  • 77.83.197.57
  • 77.83.197.58
  • 77.83.197.59
  • 77.83.197.60
  • 77.83.198.39
  • 79.141.160.78
  • 79.141.161.66
  • 79.141.161.67
  • 79.141.161.68
  • 79.141.161.69
  • 79.141.161.70
  • 79.141.161.71
  • 79.141.161.72
  • 79.141.161.73
  • 79.141.161.74
  • 79.141.161.75
  • 79.141.161.76
  • 79.141.161.77
  • 79.141.161.78
  • 79.141.161.79
  • 79.141.161.80
  • 79.141.161.81
  • 79.141.161.82
  • 79.141.161.83
  • 79.141.161.84
  • 79.141.161.85
  • 79.141.173.103
  • 79.141.173.119
  • 79.141.173.120
  • 79.141.173.121
  • 79.141.173.122
  • 79.141.173.123
  • 79.141.173.200
  • 79.141.173.210
  • 79.141.173.211
  • 79.141.173.231
  • 79.141.173.232
  • 79.141.173.233
  • 79.141.173.246
  • 79.141.173.247
  • 79.141.173.248
  • 79.141.173.249
  • 79.141.173.250
  • 79.141.173.251
  • 79.141.173.252
  • 79.141.173.253
  • 79.141.173.254
  • 79.141.173.70
  • 79.141.173.96
  • 79.141.173.97
  • 79.141.173.98
  • 79.143.87.229
  • 79.143.87.232
  • 79.143.87.240
  • 79.143.87.243
  • 79.143.87.249
  • 88.80.148.49
  • 88.80.148.53
  • 89.150.40.43
  • 89.150.40.86

Комментарии: 0