Forest Blizzard przejmuje routery SOHO i przechwytuje logowania poprzez manipulację DNS

Wprowadzenie do problemu / definicja

Grupa Forest Blizzard, znana również jako APT28, prowadzi kampanie cyberszpiegowskie, w których punktem wejścia nie są już wyłącznie stacje robocze czy serwery, ale także urządzenia brzegowe. Najnowsze ustalenia pokazują, iż kompromitacja routerów SOHO oraz zmiana ich konfiguracji DNS mogą umożliwić przechwytywanie poświadczeń, obserwację ruchu sieciowego i realizację ataków typu adversary-in-the-middle bez instalowania klasycznego malware na komputerach ofiar.

To podejście jest szczególnie niebezpieczne, ponieważ wiele organizacji przez cały czas traktuje małe routery biurowe i urządzenia dostępu zdalnego jako elementy infrastruktury o niskim priorytecie bezpieczeństwa. W praktyce właśnie one mogą stać się skutecznym narzędziem do długotrwałej infiltracji i kradzieży danych.

W skrócie

Według ujawnionych analiz napastnicy wykorzystywali znane, starsze podatności w routerach SOHO i wybranych zaporach sieciowych, aby uzyskać dostęp administracyjny do urządzeń. Następnie modyfikowali ustawienia DNS i kierowali ruch ofiar przez kontrolowaną infrastrukturę VPS.

• celem były m.in. routery MikroTik i TP-Link oraz wybrane rozwiązania Nethesis i Fortinet,
• atak umożliwiał przechwytywanie loginów i haseł do usług webowych oraz poczty,
• kampania miała charakter niemal bezmalware’owy, co utrudniało jej wykrycie,
• zidentyfikowano tysiące urządzeń i szeroki zasięg geograficzny operacji.

Kontekst / historia

Forest Blizzard od lat jest kojarzona z operacjami wywiadowczymi wymierzonymi w administrację publiczną, dyplomację, sektor obronny i organizacje o wysokiej wartości strategicznej. Grupa konsekwentnie rozwija techniki pozyskiwania dostępu do kont pocztowych, usług chmurowych i systemów komunikacji, a jej działania wielokrotnie łączono z rosyjskim wywiadem wojskowym.

W opisywanej kampanii uwagę zwraca przesunięcie ciężaru ataku z endpointów na urządzenia perymetryczne. Routery i małe firewalle często działają latami bez aktualizacji, mają ograniczone logowanie zdarzeń i pozostają poza stałym monitoringiem SOC. To sprawia, iż są atrakcyjnym celem dla zaawansowanych grup APT.

Ataki na warstwę infrastrukturalną, w tym DNS i urządzenia edge, wpisują się w szerszy trend obserwowany w ostatnich latach. Z perspektywy napastnika kompromitacja routera daje uprzywilejowaną pozycję wobec całego ruchu wychodzącego z organizacji lub zdalnej lokalizacji.

Analiza techniczna

Rdzeń kampanii był technicznie stosunkowo prosty, ale bardzo skuteczny. Operatorzy wykorzystywali publicznie znane luki umożliwiające uzyskanie dostępu do paneli administracyjnych urządzeń. Jednym z przywoływanych przykładów był błąd CVE-2023-50224 dotyczący urządzeń TP-Link, pozwalający na ujawnienie informacji bez uwierzytelnienia.

Po przejęciu kontroli nad routerem atakujący zmieniali konfigurację DNS. W efekcie zapytania o rozwiązywanie nazw domen mogły trafiać do infrastruktury kontrolowanej przez przeciwnika. To otwierało drogę do przekierowywania ruchu przez serwery pośredniczące i prowadzenia ataków adversary-in-the-middle.

W takim modelu napastnicy mogli przechwytywać loginy i hasła do usług webowych, zbierać tokeny sesyjne, analizować wzorce komunikacji organizacji i utrzymywać trwały dostęp przy minimalnej widoczności po stronie narzędzi ochronnych. Ponieważ główna aktywność odbywała się na routerze i w warstwie DNS, systemy EDR zainstalowane na stacjach roboczych mogły nie wykazać żadnych jednoznacznych oznak incydentu.

To właśnie brak klasycznego malware na endpointach czyni tę technikę tak niebezpieczną. W wielu środowiskach jedynym śladem kompromitacji mogą być nieautoryzowane zmiany serwerów DNS, nietypowe przekierowania ruchu lub połączenia do podejrzanej infrastruktury VPS.

Konsekwencje / ryzyko

Skutki przejęcia routera brzegowego mogą być bardzo poważne. Tego rodzaju urządzenie znajduje się na ścieżce komunikacji użytkowników, co daje atakującemu możliwość wpływania na ruch sieciowy bez bezpośredniego naruszania hostów końcowych.

• kradzież danych uwierzytelniających do poczty, VPN i aplikacji SaaS,
• przejęcie kont użytkowników i dalszy ruch boczny w środowisku,
• podsłuchiwanie lub profilowanie komunikacji organizacyjnej,
• obejście tradycyjnych mechanizmów detekcji skupionych na endpointach,
• długotrwała obecność przeciwnika przy ograniczonych artefaktach forensic.

Szczególnie narażone pozostają organizacje korzystające ze starszych urządzeń, sprzętu niewspieranego przez producenta, domyślnych ustawień administracyjnych oraz zdalnego zarządzania wystawionego bezpośrednio do Internetu. Ryzyko rośnie również w środowiskach rozproszonych, w których nie ma centralnego nadzoru nad konfiguracją urządzeń w oddziałach i lokalizacjach pracy zdalnej.

Rekomendacje

Obrona przed tego typu kampaniami wymaga traktowania routerów SOHO, firewalli i innych urządzeń edge jako pełnoprawnych elementów powierzchni ataku. Organizacje powinny wdrożyć zestaw działań technicznych i organizacyjnych ograniczających możliwość przejęcia infrastruktury brzegowej.

• przeprowadzić pełną inwentaryzację routerów, firewalli i urządzeń dostępowych,
• aktualizować firmware i wycofywać sprzęt niewspierany lub podatny na znane luki,
• regularnie weryfikować konfigurację DNS na routerach i hostach końcowych,
• wyłączyć zdalne zarządzanie z Internetu, jeżeli nie jest absolutnie konieczne,
• ograniczyć dostęp administracyjny dzięki ACL, VPN i MFA,
• monitorować logi pod kątem nietypowych serwerów DNS i podejrzanych połączeń do VPS,
• rotować hasła i unieważniać sesje kont potencjalnie narażonych na przechwycenie,
• rozszerzyć detekcję o warstwę sieciową, tożsamości i usługi chmurowe,
• segmentować sieć i ograniczać zaufanie do lokalnych urządzeń dostępowych,
• stosować rozwiązania klasy enterprise tam, gdzie przetwarzane są dane wrażliwe.

Dobrą praktyką jest także cykliczna kontrola ustawień DNS oraz parametrów administracyjnych urządzeń perymetrycznych. W takich incydentach właśnie zmiany konfiguracyjne bywają najważniejszym wskaźnikiem kompromitacji.

Podsumowanie

Kampania przypisywana Forest Blizzard pokazuje, iż skuteczna operacja cyberszpiegowska nie musi opierać się na zero-dayach ani rozbudowanym malware. Wystarczy połączenie znanych podatności, słabo zarządzanych routerów SOHO i manipulacji DNS, aby zdobyć cenne poświadczenia oraz dostęp do ruchu organizacyjnego.

Dla zespołów bezpieczeństwa to wyraźny sygnał, iż ochrona urządzeń brzegowych i integralności usług DNS powinna być traktowana jako priorytet strategiczny. W przeciwnym razie przeciwnik może uzyskać szeroki wgląd w komunikację organizacji bez uruchamiania alarmów charakterystycznych dla klasycznych infekcji endpointów.

Źródła

• Dark Reading – Russia’s Forest Blizzard Nabs Rafts of Logins via SOHO Routers
• Microsoft Security Blog – SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks
• Lumen Black Lotus Labs – FrostArmada forest blizzard dns hijacking
• U.S. Department of Justice – Disruption of GRU-controlled botnet and related operations
• CISA – APT28 Exploits Known Vulnerability To Carry Out Reconnaissance and Deploy Malware on Cisco Routers