英国の国家サイバーセキュリティセンター(NCSC)は、ロシア国家サイバーグループAPT28がルーターを侵害してウェブトラフィックをハイジャックし、被害者をスパイしていることを警告しました。
攻撃者は脆弱なルーターを悪用してDHCPとDNS設定を変更し、彼らが管理するサーバーを通じてトラフィックをリダイレクトしています。
「APT28はほぼ確実にロシア参謀本部情報総局(GRU)第85主特殊作戦センター(GTsSS)軍事情報部門26165である」とNCSCは述べています。
2024年以来、APT28は仮想プライベートサーバー(VPS)を悪意のあるDNSインフラストラクチャとして構成し、公開されている既知の脆弱性を通じて侵害されたルーターからの大量のリクエストを受け取っています。調査官は、この活動の2つのクラスタを特定し、それぞれが複数のサーバーを含んでいます。
「侵害されたスモールオフィス/ホームオフィス(SOHO)ルーターのDHCP DNSサーバー設定は、行為者が所有するIPアドレスを含むように変更されました。これらの設定は、その後ラップトップや電話などの下流デバイスに継承されました」と調査官は書いています。
「特定のサービス、特にメールアプリケーションやログインページに関連付けられたキーワードを含むドメイン名のルックアップは、その後悪意のあるDNSサーバーによってさらに行為者が所有するIPアドレスに解決されます。行為者のターゲティング基準に一致しないDNSリクエストは、代わりに要求されたサービスの正当なIPアドレスに解決されます」と彼らは付け加えています。
このセットアップにより、中間者攻撃が可能になり、攻撃者はブラウザセッションとデスクトップアプリケーションをインターセプトし、パスワードと認証トークンを含む認証データを収集することができました。
悪用されたルーターモデルの1つはTP-Link WR841N(おそらくCVE-2023-50224を使用)でした。この脆弱性により、認証情報データを含む細工されたリクエストを通じて認証されていないアクセスが可能でした。アクセス権を獲得した後、攻撃者はデバイス上のDHCPおよびDNS設定を変更して、トラフィックのルート方法を制御しました。
これらの変更は、通常、セカンダリサーバーを変更しないままプライマリDNSサーバーを悪意のあるアドレスに置き換えました。ただし、場合によっては両方のエントリが変更され、繰り返しの侵害を示唆しています。
2番目のクラスタは、MikroTikおよびTP-Linkルーターを含む侵害されたデバイスからのDNSリクエストを受け取り、それらのリクエストを追加の攻撃者制御システムに転送するインフラストラクチャを含みました。このアクティビティの一部には、ウクライナに位置する少数のルーターに対する操作が含まれました。
当局は、攻撃者が選択したターゲットに焦点を絞る前に広く網を張るため、このアクティビティはおそらく日和見的なものであることを指摘しています。
NCSCは、APT28のルーター悪用に関連するタクティクス、テクニック、および手順に関する技術的なアドバイザリを発行して、DNSハイジャック操作を有効にしました。
「このアクティビティは、広く使用されているネットワークデバイスの悪用された脆弱性がどのように高度な悪意のあるアクターによって活用されるかを示しています。組織とネットワーク防御者は、アドバイザリで説明されているテクニックに慣れ、緩和アドバイスに従うことを強くお勧めします」と、NCSC運用ディレクターのPaul Chichesterは述べました。
翻訳元: https://www.helpnetsecurity.com/2026/04/07/russian-hackers-router-hijacking-dns-credential-theft/
