英国国家サイバーセキュリティセンター(NCSC)は、ロシアがパスワードその他の秘密を盗むためにルーターを標的にしている活動について、新たな警告を発出した。
APT28(別称:Fancy Bear)はロシア情報機関(GRU)に広く認められているグループで、中小企業・ホームオフィス(SOHO)ルーターの脆弱性を悪用し、その支配下のウェブサイトに被害者をリダイレクトするようDNSサーバー設定を変更していると述べた。
多くの場合、これらのDNS設定を変更することで、ラップトップやスマートフォンなどのダウンストリームデバイスが設定を継承する可能性があり、悪意のある接続にさらされる。
Fancy BearはOutlookのような一般的にアクセスされるサービスを検索する被害者を支配下のウェブサイトにリルーティングすることが多い。被害者は代わりにOutlookの模倣ページを提供され、サービスにアクセスするために自分の正当な認証情報を無意識のうちに入力してしまう。
TP-Link ルーターが特に名指しされたが、Ciscoのルーターも以前同じ活動に巻き込まれており、NCSCは2021年からこれを監視している。
同様の活動の別のクラスターがMikroTikルーターを標的にした。NCSCはこれらの多くはウクライナに位置していると考えており、これらを侵害することでロシアが軍事情報価値のあるデータを収集することができるようになる。
DNS乗っ取り活動は数年間にわたって継続されており、高度な脅威行為者によって実行されているが、NCSCはそれが高い価値を持つ個人を特に標的にするのではなく、日和見的である可能性が高いと述べた。
NCSCの運用部長Paul Chichesterは、「この活動は、広く使用されているネットワークデバイスの悪用された脆弱性が、高度な敵対者によってどのように利用されるかを示しています。
「組織とネットワークディフェンダーに対し、勧告で説明されている技術に精通し、軽減策のアドバイスに従うことを強く推奨します。
「NCSCはロシアの悪意のあるサイバー活動を引き続き明らかにし、英国ネットワークの保護に役立つ実践的なガイダンスを提供し続けます。」
Microsoftも攻撃に関する独自のレポートを公開し、APT28(Redmondの命名ではForest Blizzard)が大規模な標的の上流にある組織のルーターを侵害することを望んでいた可能性が高いと付け加えた。
そうすることで、グループはエンタープライズ環境や他の機密データの宝庫にアクセスできる可能性がある。
同社は「Microsoft Threat Intelligenceは、Forest Blizzardの悪意のあるDNSインフラストラクチャの影響を受けた200以上の組織と5,000台のコンシューマーデバイスを特定しました。テレメトリはMicrosoft所有の資産またはサービスの侵害を示していません。」と述べた。
Microsoftは、APT28が成功した攻撃をDDoS攻撃やマルウェアの展開など、他の目的に使用することもできると述べた。
2023年4月に遡るNCSCの初期の勧告の1つは、Ciscoルーターへの同様の攻撃がAPT28がJaguar Toothマルウェアを展開し、後続の攻撃のためのバックドアを確立したことを指摘しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/07/russia_fancy_bear_ncsc_router_attack/
