ロシア政府支援の攻撃者が120カ国以上に分散する18,000台以上のルーターを侵害し、大規模スパイ活動キャンペーンのために機密ネットワークへのより深いアクセスを獲得していたが、最近になって中和されたと研究者と当局が火曜日に述べた。
APT28およびFancy Bearとしても知られるForest Blizzardは、既知の脆弱性を悪用して、全世界の数千台のTP-Linkルーターの認証情報を盗み出した。ロシアの参謀本部情報総局(GRU)軍事部門26165に帰属する脅威グループは、ドメイン名システム設定をハイジャックし、リダイレクトされたトラフィックを通じて追加の認証情報とトークンを盗み出したと司法省が述べた。
脅威グループは200以上の組織のシステムに侵入することで広大なスパイ活動ネットワークを確立し、少なくとも5,000台のコンシューマーデバイスに影響を与えたとMicrosoft Threat Intelligenceがレポートで述べた。
FBI主導の協力的な排除作戦「Operation Masquerade」は、連邦検事、国家安全保障局の国家安全保障サイバー部門、LumenのBlack Lotus Labs、およびMicrosoft Threat Intelligenceが支援し、DNS設定をリセットして脅威グループが初期アクセス手段をさらに悪用するのを防ぐよう設計された一連のコマンドを含んでいた。
「GRU関係者は米国と世界中のルーターを侵害し、スパイ活動を実施するためにハイジャックした。この脅威の規模を考えると、警告を発するだけでは十分ではなかった」とFBIサイバー部門副局長のBrett Leathermanが声明で述べた。「FBIは米国全体の侵害されたルーターを強化するために裁判所より許可された作戦を実施した。」
Forest Blizzardの広範なキャンペーンはMicrosoft Outlook Web Accessを含む正規サービスを模倣するドメインに対する中間者攻撃を含んでいた。これにより攻撃者はパスワード、OAuthトークン、Microsoftアカウントの認証情報、およびその他のサービスとクラウドホストコンテンツをインターセプトすることができた。
Microsoftは、会社が所有する資産またはサービスがキャンペーンの一部として侵害されなかったことを強調している。
脅威グループは、ロシア政府の情報利益の機密ターゲット(軍事、政府、重要インフラ部門の人々を含む)を特定する前に、TP-LinkおよびMicroTikルーターを含むネットワークエッジデバイスを機会的に標的にした。
研究者によると、被害者はIT、通信、エネルギー部門の政府機関と組織を含む。Lumenはアフガニスタン政府に関連する他の被害者と北アフリカ、中米、および東南アジアの外交および国家法執行機関にリンクされた被害者を特定した。同社は、名前が明かされていないヨーロッパの国の国家身元確認プラットフォームも影響を受けたと述べた。
Lumenはこのキャンペーンの一部として侵害された米国政府機関の証拠を見つけなかったが、この活動は重大な国家安全保障上の脅威をもたらすと警告した。
Forest Blizzardの成果の全範囲は調査中のままですが、研究者は機密情報の漏洩が停止したことに確信を持っている。
「キャンペーンは終了した」とBlack Lotus Labsの著名なエンジニアであるDanny AdamitisがCyberScoopに述べた。「過去数週間にわたり、このインフラストラクチャに関連する通信の段階的な減少を観察している。」
Lumenは、8月に始まった広範なルーター悪用とDNSリダイレクションを観察したと述べた。これは、英国の国家サイバーセキュリティセンターがMicrosoft Office認証情報を盗むために使用されたツールに関するマルウェア分析レポートを公開した翌日である。英国のNCSCは火曜日にAPT28のDNSハイジャッキングキャンペーンについての詳細を、侵害の指標を含めて公開した。
司法省とFBIは、Forest Blizzardの活動に関する証拠を収集した後、裁判所命令に基づいて行動し、米国内の侵害されたルーターを修復した。FBIは、ロシアのGRUが23州以上のアメリカ人が所有するルーターを兵器化して、機密政府、軍事、および重要インフラ情報を盗んだと述べた。
翻訳元: https://cyberscoop.com/forest-blizzard-apt28-routers-espionage-campaign-operation-masquerade/
