Российские хакеры перенаправляют интернет-трафик через уязвимые маршрутизаторы

Российская государственная кибергруппа APT28 использовала уязвимости в маршрутизаторах для перехвата веб-трафика и слежки за жертвами, предупредил Национальный центр кибербезопасности Великобритании (NCSC).

Злоумышленники используют уязвимые маршрутизаторы для изменения настроек DHCP и DNS, перенаправляя трафик через контролируемые ими серверы.

«Мы считаем, что APT28 с высокой долей вероятности является 26165-м подразделением военной разведки (85-й Главный специальный службы, ГТсСС) Главного разведывательного управления Генерального штаба России (ГРУ)», — заявили в NCSC.

С 2024 года APT28 настраивала виртуальные частные серверы (VPS) для работы в качестве вредоносной DNS-инфраструктуры, получая огромные объёмы запросов от маршрутизаторов, скомпрометированных через известные уязвимости. Следователи выявили два кластера этой активности, каждый из которых включал несколько серверов.

«Настройки DNS-сервера DHCP в скомпрометированных маршрутизаторах для малого офиса и дома (SOHO) были изменены для включения IP-адресов, принадлежащих злоумышленникам. Эти настройки затем наследовались подключёнными устройствами, например, ноутбуками и телефонами», — написали исследователи.

«Запросы на поиск доменных имён, содержащих ключевые термины, связанные с определёнными сервисами, часто почтовыми приложениями или страницами входа, затем разрешались вредоносными DNS-серверами на дальнейшие IP-адреса злоумышленников. DNS-запросы, не соответствующие их критериям таргетирования, вместо этого разрешались на законные IP-адреса запрашиваемых сервисов», — добавили они.

Такая схема позволила организовать атаку «злоумышленник в середине», что дало возможность перехватывать сессии браузера и данные настольных приложений, собирая учётные данные, включая пароли и токены аутентификации.

Одной из моделей маршрутизаторов, использованных для атаки, была TP-Link WR841N, вероятно, с использованием уязвимости CVE-2023-50224. Эта уязвимость позволяла получать несанкционированный доступ к конфиденциальной информации, включая данные учётных записей, через специально сформированные запросы. После получения доступа злоумышленники изменяли на устройстве настройки DHCP и DNS, чтобы контролировать маршрутизацию трафика.

Эти изменения обычно заменяли основной DNS-сервер на вредоносный адрес, оставляя вторичный сервер неизменным, хотя в некоторых случаях изменялись обе записи, что указывает на повторное проникновение.

Вторая группа действий затрагивала инфраструктуру, получающую DNS-запросы от скомпрометированных устройств, включая маршрутизаторы MikroTik и TP-Link, и перенаправляющую эти запросы на дополнительные системы, контролируемые злоумышленниками. Часть этой активности включала операции против небольшого числа маршрутизаторов, расположенных на территории Украины.

Специалисты отмечают, что эта активность, вероятно, носит выборочный характер: злоумышленники сначала используют широкий охват, а затем сужают фокус до избранных целей.

Национальный центр кибербезопасности выпустил технический бюллетень о тактиках, методах и процедурах, связанных с эксплуатацией APT28 уязвимостей в маршрутизаторах для организации операций по перехвату DNS.

«Данная активность наглядно демонстрирует, как уязвимости в широко используемом сетевом оборудовании могут быть использованы сложными враждебными субъектами. Мы настоятельно рекомендуем организациям и специалистам по защите сетей ознакомиться с описанными в бюллетене методами и следовать рекомендациям по устранению угроз», — заявил Пол Чичестер, директор операционного отдела Национального центра кибербезопасности.