マイクロソフト脅威インテリジェンスによると、ロシア政府関連のハッカーが家庭用および小規模オフィス(SOHO)ルーターを標的にした大規模サイバーキャンペーンを積極的に展開しており、インターネットトラフィックの乗っ取りと世界中の組織に対する監視を目的としている。
このキャンペーンはForest Blizzardに帰属するもので、APT28またはStrontiumとしても追跡されているよく知られた脅威グループで、ロシア軍部および情報機関の目標を支援するために活動している。
2025年8月以降、このグループとそのサブグループであるStorm-2754は5,000以上の消費者デバイスを侵害し、世界中の200以上の組織に影響を与えている。
研究者によると、攻撃者はセキュリティ対策が不十分でパッチが当たっていないルーターを悪用しており、これはリモートワーク環境で一般的に使用されている。
これらのデバイスは適切な監視とセキュリティ制御に欠けることが多く、より大きな企業ネットワークへの簡単なエントリーポイントになっている。
攻撃は脆弱なルーターへの不正アクセスから始まる。一度内部に侵入すると、ハッカーはルーターのドメインネームシステム(DNS)設定を変更する。
これにより、接続されたすべてのデバイスからのインターネットトラフィックを攻撃者制御のサーバーにリダイレクトできる。
ラップトップやスマートフォンなどのデバイスはルーター設定に自動的に依存するため、ユーザーはトラフィックが傍受されていることに気づかない。
攻撃者はdnsmasqという正規のネットワークツールを使用して、この悪意あるトラフィックを静かに管理する。ポート53をリッスンすることで、すぐにアラームを発生させずにDNSクエリを監視できる。
可視性を得た後、攻撃者は特に政府、IT、およびエネルギー部門の高価値ターゲットに対して選別されたAdversary-in-the-Middle(AiTM)攻撃を仕掛ける。
これらの攻撃では、被害者はMicrosoftプラットフォームなどの信頼できるサービスの偽バージョンにリダイレクトされる。
攻撃者はこれらのセッション中に無効なセキュリティ証明書を提示する。ユーザーがブラウザの警告を無視すると、ハッカーはログイン認証情報、メール、クラウド通信を含む機密データを傍受できる。
セキュリティ専門家は、この技術により攻撃者は通信を監視するだけでなく、潜在的に攻撃をエスカレートさせることができると警告している。
今後の活動には、マルウェアの展開またはサービス拒否操作によるネットワークの中断が含まれる可能性がある。
リスクを軽減するため、組織は特にリモートワークセットアップで家庭用ルーターを重大なセキュリティ懸念事項として扱うよう求められている。ゼロトラストDNSポリシーを強制することで、企業デバイスが信頼できるDNSサーバーのみを使用することを保証できる。
企業はビジネス環境で消費者向けルーターの使用を避け、代わりにエンタープライズグレードのネットワークソリューションを採用すべきである。
アイデンティティセキュリティを強化することも同様に重要である。専門家は、集中型アイデンティティ管理、フィッシング耐性多要素認証、および疑わしいログイン試行をブロックするための条件付きアクセスポリシーを推奨している。
さらに、セキュリティチームは異常なDNS変更を監視し、疑わしい動作を検出するための詳細なログを維持すべきである。
侵害されたDNS設定をリセットすることは即座の脅威を停止できるが、認証情報がすでに盗まれている場合は被害を防ぐことはできない。
このキャンペーンは、家庭用ルーターのような一見低リスクなデバイスがいかに高度なサイバースパイ活動の強力なツールになることができるかを強調している。