ロシア軍が再び家庭や小規模オフィスのルーターをハッキングし、知らないユーザーをスパイ活動に使用するパスワードや資格トークンを収集するサイトに送り込む広範な作戦を行っていると研究者が火曜日に発表した。
Black Lotus Lumen Technologiesの研究者らによると、主にMikroTikとTP-Link製で120カ国にある推定1万8000台から4万台の消費者向けルーターが、GRUとして知られるロシアの軍事諜報機関の一部である高度な脅威グループであるAPT28に属するインフラストラクチャで侵害されたという。この脅威グループは少なくとも 20 年にわたって活動しており、世界中の政府を標的とした数十件の大規模なハッキングの背後にあります。 APT28 は、Pawn Storm、Sofacy Group、Sednit、Tsar Team、Forest Blizzard、STRONTIUM などの名前でも追跡されています。
高度な技術、実績のある技術
少数のルーターが、APT28 がスパイしようとしていた外務省、法執行機関、政府機関に属する他の多数のルーターに接続するためのプロキシとして使用されました。その後、このグループはルーターの制御を利用して、同社の 365 サービスのドメインを含む特定の Web サイトの DNS ルックアップを変更しました。
「大規模言語モデル(LLM)『LAMEHUG』のような最先端のツールと実績のある長年の技術を組み合わせることで知られるForest Blizzardは、防御側の一歩先を行くために常に戦術を進化させている」とBlack Lotusの研究者らは書いている。 「彼の過去と現在のキャンペーンは、彼の技術の洗練さと、公の場にさらされた後でも古典的な攻撃手法を再検討する意欲の両方を強調しており、この攻撃者が世界中の組織にもたらしている継続的なリスクを浮き彫りにしています。」
ルーターをハイジャックするために、攻撃者は既知のセキュリティ脆弱性に対するパッチが適用されていない古いモデルを悪用しました。次に、特定のドメインの DNS 設定を変更し、動的ホスト構成プロトコルを使用して、その設定をルーターに接続されているワークステーションに伝播しました。接続されたデバイスが標的のドメインにアクセスすると、その接続は目的の宛先に到達する前に悪意のあるサーバーを経由してルーティングされます。
