Российское военное ведомство вновь взламывает домашние и офисные маршрутизаторы в ходе масштабных операций, которые перенаправляют ничего не подозревающих пользователей на сайты, собирающие пароли и токены доступа для использования в шпионских целях, сообщили исследователи во вторник.

По оценкам исследователей, от 18 000 до 40 000 домашних маршрутизаторов, в основном производства MikroTik и TP-Link, расположенных в 120 странах, были взломаны и использованы для создания инфраструктуры APT28 — продвинутой группировки, входящей в состав Главного управления разведки (ГРУ) Российской Федерации. Об этом сообщили исследователи Black Lotus Labs компании Lumen Technologies. Эта группировка работает минимум два десятилетия и стоит за десятками громких взломов, направленных на государственные учреждения по всему миру. APT28 также известна под названиями Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard и STRONTIUM.

Технологическая изощренность и проверенные методы

Небольшое количество маршрутизаторов использовалось в качестве прокси для подключения к значительно большему числу других маршрутизаторов, принадлежащих иностранным министерствам, правоохранительным органам и государственным агентствам, за которыми APT28 хотела шпионить. Затем группировка использовала контроль над маршрутизаторами для изменения разрешения DNS для выбранных сайтов, включая, как указала Microsoft, домены для сервиса компании 365.

«Известная своим сочетанием передовых инструментов, таких как большая языковая модель (LLM) LAMEHUG с проверенными долгосрочными методами, Forest Blizzard постоянно совершенствует свою тактику, чтобы опережать защитников, — писали исследователи Black Lotus. — Их предыдущие и текущие кампании демонстрируют как технологическую изощренность, так и готовность вернуться к классическим методам атак даже после их публичного разоблачения, подчеркивая постоянный риск, который представляет эта группировка для организаций по всему миру.»

Для взлома маршрутизаторов злоумышленники использовали старые модели, которые не были защищены от известных уязвимостей безопасности. Затем они изменили параметры DNS для выбранных доменов и использовали протокол динамической конфигурации хоста для их распространения на рабочие станции, подключенные к маршрутизаторам. Когда подключенные устройства открывали выбранные домены, их соединения перенаправлялись через вредоносные серверы до достижения пункта назначения.

Эти серверы типа «злоумышленник в середине» использовали самоподписанные сертификаты. Когда конечный пользователь игнорировал предупреждения браузера, серверы перехватывали весь трафик, проходящий через них. Помимо прочего, они собирали токены OAuth и другие учетные данные, установленные после того, как пользователи, не подозревая о прослушивании соединения, завершали многофакторную аутентификацию.

Операция началась в мае 2025 года на ограниченном количестве устройств. Затем в августе Национальный центр кибербезопасности Британии выпустил предупреждение об использовании одной группировкой вредоноса для «перехвата и кража учетных данных и токенов учетных записей Microsoft Office». На следующий день группировка резко интенсифицировала взлом маршрутизаторов, продолжив усиливать эту активность в последующие месяцы.

На протяжении четырехнедельного периода, начиная с 12 декабря, Black Lotus зафиксировала более 290 000 различных IP-адресов, отправляющих по крайней мере один DNS-запрос на вредоносный DNS-сервер APT28. «Это предполагает, что как только одна возможность была раскрыта, злоумышленник немедленно перешел к другой, чтобы продолжить сбор материалов аутентификации», — написали исследователи компании.

Black Lotus описала методологию следующим образом:

  1. Изменения DNS были затем распространены на рабочие станции в соседней локальной сети через протокол динамической конфигурации хоста (DHCP).
  2. Злоумышленник управлял DNS-сервером, ведущим себя как типичный рекурсивный преобразователь, но когда запрашивался целевой полностью квалифицированный доменное имя (FQDN), он был настроен на возврат записи, содержащей собственный IP-адрес вместо правильного адреса. Вмешательства срабатывали только для доменов, связанных с сервисами аутентификации. Если запрашивался какой-либо другой домен, трафик проходил напрямую.
  3. Злоумышленник запускал прокси-сервис в качестве типа «злоумышленник в середине», на который конечный пользователь был перенаправлен через DNS. Единственным признаком этой атаки было бы всплывающее предупреждение о подключении к недоверенному источнику из-за «перерыва и проверки».
  4. Если предупреждения были присутствовали и проигнорированы или нажаты, злоумышленник перенаправил запросы к легитимным сервисам, собирая данные в середине и собирая данные, связанные с целевым учетной записью, передав действительный токен OAuth. Это позволило злоумышленнику перервать и проверить трафик, а также получить доступ к материалам аутентификации, таким как токены OAuth после завершения многофакторного вызова.

APT28 имеет историю взломов маршрутизаторов. В 2018 году исследователи обнаружили, что 500 000 устройств, в основном расположенных в США, были инфицированы вредоносным ПО, отслеживаемым как VPNFilter. В 2024 году Министерство юстиции США поймало эту группу, делающей то же самое.

Самый простой способ узнать, был ли взломан ваш маршрутизатор в этой операции — проверить текущие параметры DNS, чтобы увидеть, указаны ли неизвестные серверы. Пользователи должны также проверить логи событий на предмет неизвестных изменений параметров DNS-сервера. Кроме того, следует сделать серьезное рассмотрение замены маршрутизаторов, вышедших из эксплуатации, на те, которые получают регулярные обновления безопасности. Никогда не игнорируйте предупреждения браузера об ненадежных сертификатах TLS.