米国司法省とFBIは、ロシア軍事情報機関が実行していた大規模なサイバー作戦を摘発しました。この作戦は世界中の数千台のインターネットルーターを乗っ取っていました。
「マスカレード作戦」と名付けられたこの連携作戦は、高価値な個人および組織に対してステルスDNSハイジャック攻撃を行うために使用される秘密ネットワークを標的としていました。
このキャンペーンはGRU軍事部門26165に起因するとされており、広く「APT28」として追跡されており、「Fancy Bear」または「Sofacy Group」としても知られています。
少なくとも2024年から活動している同グループは、特にTP-Linkデバイスのスモールオフィス・ホームオフィス(SOHO)ルーターの既知の脆弱性を悪用して、不正アクセスを得ていました。
管理者認証情報を取得することで、攻撃者は複数の国にある数千台のルーターを静かに制御することができました。
侵害されたデバイス内に入ると、脅威アクターはドメインネームシステム(DNS)設定を変更して、インターネットトラフィックをGRU管理下の悪意あるDNSサーバーを通じてリダイレクトしました。
この操作により、感染したネットワークを流れるトラフィックを傍受して分析することが可能になりました。
初期感染は幅広く日和見的でしたが、攻撃者は自動フィルタリング機構を配置して、政府機関、軍事ネットワーク、重要インフラ部門の職員を含む価値のある標的を特定しました。
選別された被害者に対して、悪意あるインフラストラクチャはなりすましDNS応答を配信し、Microsoft Outlook Web Accessなどの正当なサービスを模倣していました。
これにより、暗号化されたセッションがダウングレードまたは操作されて機密データを取得する、非常に効果的な「中間者攻撃」が可能になりました。
その結果、攻撃者は疑いを起こさせずにログイン認証情報、認証トークン、機密通信を抽出することができました。
この作戦は日常的なネットワーク機器を効果的にスパイ活動ツールに変え、気付かないユーザーのデバイスを活用して戦略的に重要な目標をスパイしました。
キャンペーンの規模と秘密性は、エッジデバイスを機密環境への入口として悪用する増加傾向を強調しています。
脅威に対抗するために、FBIは裁判所の認可を取得して、米国内の影響を受けたルーターにリモートアクセスしました。
特殊なコマンドを使用して、エージェントは法医学的証拠を収集し、悪意あるDNS構成を削除し、正当なISP設定を復元し、攻撃者のアクセスチャネルをブロックしました。
介入はユーザーへの支障を避けるように慎重に設計され、個人データへのアクセスは含まれていませんでした。
この作戦はMIT Lincoln Laboratoryによって技術的に検証され、安全性と効果を確保しました。
主要な民間企業パートナー、Microsoft Threat IntelligenceおよびLumenのBlack Lotus Labsを含む、悪意あるインフラストラクチャの特定と分析に重要な役割を果たしました。
米国での摘発に成功したにもかかわらず、セキュリティ専門家は脆弱なデバイスが世界中で引き続き露出していると警告しています。
ユーザーは古いルーターを交換し、ファームウェアアップデートを適用し、DNS設定を確認し、インターネットに公開されたリモート管理機能を無効にすることを強く勧告されています。
FBIはインターネットサービスプロバイダーと連携して、影響を受けたユーザーに通知しています。侵害の可能性があると疑われる個人は、デバイスをリセットし、セキュリティパッチを適用し、インターネット犯罪苦情センター(IC3)に事件を報告する必要があります。
翻訳元: https://cyberpress.org/fbi-disrupts-russian-router-hijacking/