英国の安全保障当局は火曜日、ロシア軍事情報機関とのつながりを持つハッカーが脆弱なインターネットルーターを悪用してウェブトラフィックを横取りし、被害者をスパイしていると警告した。当局はこれを広範で継続的なサイバースパイ活動と説明している。
当局者らは、この活動は小規模オフィスおよびホームオフィスのルーター、およびインターネットに公開されているのと同様のネットワークデバイスの侵害を中心としており、脆弱なセキュリティ設定または古いソフトウェアが原因だと述べた。
技術的な勧告で、GCHQ傘下の国家サイバーセキュリティセンター(NCSC)の専門家らは、ハッカーがルーター設定を変更して、彼ら自身の管理下にあるサーバーを通じてインターネットトラフィックをリダイレクトしていることが観察されていると述べた。
Fancy Bear、BlueDelta、APT28として広く知られているグループは、ロシアのGRU軍事情報機関のユニット26165である可能性が「ほぼ確実」と評価されている。これは英国インテリジェンスが使用する最高の信頼度評価である。
昨年、20以上の情報機関が共同で発表したサイバーセキュリティ勧告は、ハッキンググループがウクライナを支援する複数の西方ロジスティクスプロバイダーとテクノロジー企業への試みられたデジタル侵入の背後にいることを非難した。
英国は以前、2015年ドイツ議会へのサイバー攻撃、および2018年の化学兵器禁止機関への試みられた作戦について同グループを非難しており、これは英国領で試みられた暗殺に使用された神経剤の分析を混乱させる努力に関連している。
火曜日の勧告は、同グループが複数のTP-Linkルーターモデルを悪用していると述べたが、他のデバイスは指定されなかった。これらのモデルは消費者と小規模ビジネスに広く販売されており、大手インターネットサービスプロバイダーの標準機器として展開されることはない。
NSCによると、APT28はデフォルトまたは弱い「コミュニティストリング」を使用するシンプルネットワーク管理プロトコル(SNMP)を使用するデバイスを悪用することで、部分的にアクセスを得ている。多くのデバイスはまだSNMPバージョン2に依存しており、暗号化がなく、攻撃者が認証情報を傍受し、悪意のあるコマンドを遠隔で発行することができます。
ルーターの内部に入ると、ハッカーは接続されたデバイスに関する情報を収集し、さらなるターゲットを識別するためにネットワークをマッピングできます。その後、ドメインネームシステム(DNS)設定を変更します。これはウェブサイト名をIPアドレスに変換します。サイバーセキュリティ専門家が「中間者攻撃」と呼ぶものを可能にします。
これにより、攻撃者がログイン認証情報や認証トークンを含む機密データを傍受するか、ユーザーを詐欺的なウェブサイトにリダイレクトすることができます。
勧告は、ネットワーク機器の既知のソフトウェア脆弱性を使用してアクセスを維持し、範囲を拡大する同グループの使用も強調しました。
当局は、キャンペーンが最初は機会主義的に見え、攻撃者が脆弱なデバイスを広く走査してから情報関心の的にフォーカスすると述べた。
NSCは組織に対して、管理インターフェースを保護し、必要でない場合はSNMPを制限または無効にし、より安全なプロトコルバージョンにアップグレードし、セキュリティ更新を適用するよう促しました。
NSCの運用ディレクターであるポール・チチェスターは、この活動は広く使用されているデバイスの利用された弱点が国家支援を受けた行為者によってどのように利用できるかを示していると述べた。
「我々は組織とネットワーク防御者が、勧告に記載されている技術に精通し、緩和アドバイスに従うことを強く推奨しています。NSCは引き続きロシアの悪意のあるサイバー活動を暴露し、英国ネットワークを保護するための実用的なガイダンスを提供します」と彼は述べた。
この開示は、西側当局がロシアのサイバーユニットがウクライナとその同盟国に関連する政府、インフラストラクチャ、および組織に対して継続的なスパイ活動キャンペーンを実施していることを警告し続けている時期に来ています。
翻訳元: https://therecord.media/uk-exposes-russian-cyber-unit-hacking-home-routers
