「Operation Masquerade」と名付けられた大規模なサイバースパイ対抗作戦において、米国司法省とFBIは、侵害された小規模オフィス/ホームオフィス(SOHO)ルーターのグローバルネットワークを見事に無力化しました。
このインフラはロシア主情報局(GRU)によって管理され、高価値情報目標に対する高度なドメインネームシステム(DNS)ハイジャック攻撃を実行するために使用されていました。
脅威アクターと攻撃チェーン
このキャンペーンは公式にはGRU軍事部隊26165に起因すると考えられており、サイバーセキュリティコミュニティではAPT28、Fancy Bear、Sofacy Group、またはForest Blizzardとして広く知られています。
少なくとも2024年以降、これらの国家支援ハッカーは世界中の数千台のTP-Linkルーターの既知の脆弱性を悪用し、認証情報を盗んでデバイスへの不正アクセスを取得しています。
内部に入った後、脅威アクターはルーターのDNS設定を操作し、トラフィックを悪質なGRU制御DNS解決者を通じてルーティングさせました。
最初のルーター侵害は無差別でしたが、GRUは自動フィルタリングを使用して、軍、政府、および重要インフラ職員に属するトラフィックを特定しました。
これらの特定のターゲットに対して、悪質な解決者はMicrosoft Outlook Web Accessなどの正当なサービスになりすまし、詐欺的なDNSレコードを提供しました。
これにより、暗号化されたネットワークトラフィックに対する「中間者」攻撃が可能になり、ハッカーは感染したルーターネットワークに接続された任意のデバイスから、暗号化されていないパスワード、認証トークン、および機密メールを静かに収集できるようになりました。
この略奪的なアプローチは、日常の家庭および小規模企業のインターネット機器を外国スパイ活動の積極的なツールに変えました。
スパイ活動を停止するため、FBIは積極的に介入する裁判所の認可を取得しました。彼らは米国内に位置する侵害されたルーターに特別に開発されたコマンドを展開しました。
このリモート操作は法医学的証拠を収集し、悪質なGRU DNS解決者をパージし、正当なISP提供のDNS設定を復元し、攻撃者の元のアクセスルートをブロックしました。
介入はMIT Lincoln Laboratoryによって広範にテストされ、正当な所有者のインターネット機能を混乱させたり、彼らのプライベートデータにアクセスしたりすることなく、脅威アクターを見事にロックアウトしました。
Microsoft Threat IntelligenceやLumenのBlack Lotus Labsを含む民間セクターのパートナーが、発見段階中に重要な技術支援を提供しました。
FBIは米国デバイスの差し迫った脅威を中和しましたが、世界中の未パッチハードウェアのリスクは残っています。
セキュリティ機関は、すべてのSOHOルーター所有者にネットワークを保護するために直ちに行動を起こすよう促しています:
- セキュリティ更新を受け取らなくなったエンドオブライフまたはサポート終了ルーターを交換してください。
- 製造業者の公式ウェブサイト経由でルーターファームウェアを最新の利用可能なバージョンに更新してください。
- ルーターの管理設定にリストされているDNS解決者の真正性を手動で検証してください。
- リモート管理サービスの公開インターネットへの不要な公開を防ぐため、厳密なファイアウォールルールを実装してください。
FBIは現在、インターネットサービスプロバイダと協力して、操作中に修復されたデバイスを持つユーザーに通知しています。
ルーターが侵害されていると疑うユーザーは、デバイスを工場出荷時の設定にリセットし、最新のセキュリティパッチを適用し、インシデントをFBIのInternet Crime Complaint Center(IC3)に報告する必要があります。
翻訳元: https://gbhackers.com/fbi-takes-down-russian-campaign/
