ロシアの軍事情報機関に関連するハッカーは、古いインターネットルーターの既知の欠陥を使用して、Microsoft Officeユーザーから認証トークンを大量に収集していると、セキュリティ専門家が本日警告しました。このスパイキャンペーンにより、国家支援を受けたロシアのハッカーは、悪意のあるソフトウェアやコードを配置することなく、18,000以上のネットワーク上のユーザーから認証トークンを静かに吸い上げることができました。
Microsoftは本日のブログ投稿で、ロシアが支援する「Forest Blizzard」として知られる脅威行為者によって構築された、ステルスだが驚くほど単純なスパイネットワークに巻き込まれた200以上の組織と5,000台のコンシューマーデバイスを特定したと述べました。
ターゲット化されたDNSリクエストがルーターでどのようにリダイレクトされたか。画像:Black Lotus Labs。
APT28およびFancy Bearとしても知られているForest Blizzardは、ロシア総参謀本部情報総局(GRU)内の軍事情報部隊に帰属しています。APT 28は、2016年にヒラリー・クリントン選挙キャンペーン、民主党全国委員会、および民主党議会選挙委員会を悪名高く侵害し、米国大統領選挙に干渉しようとしました。
インターネットバックボーンプロバイダーのLumenのセキュリティ部門であるBlack Lotus Labsの研究者は、2025年12月のピーク時の活動において、Forest Blizzardの監視作戦が、ほとんどがサポートされていない、寿命が尽きたルーター、またはセキュリティアップデートが大幅に遅れた18,000以上のインターネットルーターを捕捉したことを発見しました。Lumenからの新しいレポートは、ハッカーが主に政府機関(外務省、法執行機関、第三者メールプロバイダーなど)をターゲットにしたと述べています。
Black LolusセキュリティエンジニアのRyan Englishは、GRUハッカーは主にSmall Office/Home Office(SOHO)市場に販売されている古いMikrotikおよびTP-Linkデバイスであるターゲットルーターにマルウェアをインストールする必要がなかったと述べました。代わりに、彼らは既知の脆弱性を使用して、ハッカーが制御するDNSサーバーを含めるようにルーターのドメインネームシステム(DNS)設定を変更しました。
英国の国家サイバーセキュリティセンター(NCSC)が、ロシアのサイバー行為者がいかにしてルーターを侵害してきたかについて詳述した新しい勧告で指摘しているように、DNSは個人が関連するIPアドレスの代わりに、なじみのあるアドレスを入力することでウェブサイトに到達することを可能にするものです。DNSハイジャック攻撃では、悪質な行為者がこのプロセスに干渉して、ログイン詳細または他の機密情報を盗むために設計された悪意のあるウェブサイトにユーザーを秘密裏に送ります。
Englishは、Forest Blizzardによって攻撃されたルーターは、攻撃者が制御する数少ない仮想プライベートサーバーを指すDNSサーバーを使用するように再構成されたと述べました。重要なことに、攻撃者は悪意のあるDNS設定をローカルネットワーク上のすべてのユーザーに伝播でき、その後、それらのユーザーによって送信されたOAuth認証トークンをインターセプトできました。
ルーター侵害によるDNSハイジャック。画像:Microsoft。
これらのトークンは通常、ユーザーが正常にログインし、多要素認証を通じた後にのみ送信されるため、攻撃者は各ユーザーの認証情報および/または一回限りのコードをフィッシングする必要なく、被害者のアカウントに直接アクセスできました。
「誰もが洗練されたマルウェアを探してモバイルデバイスに何かをドロップするか何かを探しています」とEnglishは述べました。「これらの人たちはマルウェアを使用しませんでした。彼らはこれを古い学派的で、実に魅力的ではないが、仕事を成し遂げる方法で行いました。」
MicrosoftはForest Blizzard活動をDNSハイジャックを使用して「トランスポート層セキュリティ(TLS)接続での侵害後の中間者(AiTM)攻撃をMicrosoft Outlook Webドメインに対してサポートする」と表現しています。ソフトウェア大手は、SOHOデバイスをターゲットにすることは新しい戦術ではないと述べていますが、これはMicrosoftがForest Blizzardが「エッジデバイスを悪用した後のTLS接続のAiTMをサポートするためのスケールでのDNSハイジャック」を使用しているのを見た初めてのことです。
Black Lotus LabsエンジニアのDanny Adamitisは、Forest Blizzardが彼らのスパイ活動への本日の注目の嵐にどのように反応するかを見るのは興味深いだろうと述べました。このグループは2025年8月の同様のNCCSレポート(PDF)に対応して戦術を直ちに切り替えたことに注目しました。当時、Forest Blizzardはマルウェアを使用して、はるかにターゲット化された小さなグループの侵害されたルーターを制御していました。しかし、AdamitisはNCCSレポートの翌日、グループはマルウェアアプローチを迅速に放棄し、数千の脆弱なルーターのDNS設定を一括して変更することを支持したと述べました。
「最後のNCCSレポートが出る前に、彼らはこの能力をごく限定的なインスタンスで使用していました」とAdamitisはKrebsOnSecurityに述べました。「レポートがリリースされた後、彼らはこの能力をより体系的な方法で実装し、脆弱なすべてをターゲットにするために使用しました。」
翻訳元: https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
