Brytyjskie NCSC ostrzega, iż rosyjska grupa APT28 wykorzystuje podatne routery SOHO (Small Office Home Office) do przejmowania ruchu sieciowego i kradzieży danych, co pokazuje rosnące znaczenie infrastruktury domowej w operacjach cyber-szpiegowskich.
Cyberprzestępcy przechwytują dane uwierzytelniające, podszywają się pod serwisy internetowe oraz prowadzą ataki typu adversary-in-the-middle bez instalowania malware na końcowych urządzeniach. Kompromitacja routera umożliwia kontrolę nad ruchem wszystkich urządzeń w sieci, ponieważ domyślnie korzystają one z jego konfiguracji DNS.
Według National Cyber Security Centre kampania ma charakter szeroko zakrojony i obejmuje wiele krajów, a atakujący wykorzystują znane podatności oraz brak aktualizacji firmware w popularnych modelach routerów.
Według komunikatu NCSC i powiązanych ostrzeżeń (np. CISA), kampania APT28 nie wskazuje jednego konkretnego modelu, tylko klasy urządzeń głównie starsze lub nieaktualizowane routery SOHO:
- TP-Link – starsze modele bez aktualizacji
- MikroTik – szczególnie nieaktualizowane RouterOS
- Cisco – małe routery biznesowe
- Netgear
- ASUS
W atakach wykorzystywane są przede wszystkim starsze podatności w panelach zarządzania routerów, w tym błędy typu RCE lub mechanizmy pozwalające na ominięcie uwierzytelniania. Istotnym problemem pozostaje także brak zmiany domyślnych haseł, co umożliwia łatwe przejęcie dostępu do urządzenia.
Dodatkowo wiele routerów ma włączony zdalny dostęp do panelu administracyjnego przez HTTP lub HTTPS z poziomu internetu, co znacząco zwiększa powierzchnię ataku.
Kluczowym czynnikiem ryzyka jest również brak aktualizacji firmware, przez co znane i publicznie dostępne exploity pozostają skuteczne przez długi czas.
Zmiana ustawień DNS w routerze jest kluczowym elementem całego ataku. Po przejęciu urządzenia atakujący nadpisują konfigurację DHCP/DNS, przez co wszystkie urządzenia w sieci automatycznie zaczynają korzystać z podstawionych serwerów DNS kontrolowanych przez napastnika.
Każdy ruch użytkownika np. wejście na pocztę czy bank może zostać przekierowany na fałszywą infrastrukturę, bez wiedzy ofiary. Router staje się więc punktem centralnym, który wpływa na całą komunikację w sieci, ponieważ wszystkie urządzenia dziedziczą jego ustawienia DNS – nawiązujemy tutaj do testów DNS od AVLab, które pokazują, jak duże znaczenie ma zaufanie do dostawcy DNS. W ataku tym problem nie dotyczy wyboru „lepszego DNS”, ale faktu, iż użytkownik traci nad nim całkowitą kontrolę – ruch trafia do serwerów wskazanych przez atakującego zamiast do zaufanych dostawców.
Weryfikacja ustawień i zabezpieczenia
W celu ograniczenia ryzyka należy przede wszystkim zaktualizować firmware routera do najnowszej wersji oraz zmienić domyślne dane logowania. Zalecane jest także wyłączenie zdalnego dostępu do panelu administracyjnego z internetu i ograniczenie zarządzania wyłącznie do sieci lokalnej.
Dodatkowo warto manualnie ustawić zaufane serwery DNS oraz zweryfikować, czy konfiguracja DNS i DHCP w routerze nie została zmieniona bez wiedzy użytkownika.
Objawami kompromitacji mogą być m.in. nieoczekiwane przekierowania stron, ostrzeżenia dotyczące certyfikatów TLS lub zmiana ustawień DNS na urządzeniach końcowych.
W wielu przypadkach atak można zatrzymać prostymi działaniami administracyjnymi, jednak brak aktualizacji i podstawowej konfiguracji bezpieczeństwa sprawia, iż router pozostaje najsłabszym ogniwem sieci.
