TokyoBlackHatNews

securityweek.com 4分で読了

米国がハッキングされたルーターとDNSハイジャッキングに関与するロシアのスパイ活動を撤廃

米国司法省とFBIは火曜日、ロシアがスパイ活動に使用していたハッキングされたSOHOルーターのネットワークを撤廃したと発表しました。

米国当局によれば、この攻撃はAPT28、Forest Blizzard、Fancy Bearとして知られる脅威行為者に関連しており、ロシア参謀本部情報総局(GRU)によるバックアップが広く信じられています。

ハッカーは脆弱なTP-LinkおよびMikroTikルーターを標的とし、DHCP設定とDNS設定を変更して、これらのルーターに接続されているデバイスからのトラフィックが攻撃者のインフラストラクチャを経由するようにしました。

このmiddle-in-the-middle(AitM)攻撃を実施することで、サイバースパイは被害者が暗号化されていると想定していたトラフィックを取得し、パスワード、認証トークン、メール、およびウェブブラウジングデータを収集しました。

ただし、AitM攻撃は、ユーザーが攻撃者が制御するインフラストラクチャの使用によってトリガーされた無効なTLS証明書警告を無視した場合にのみ機能しました。

FBIによれば、ハッカーはCVE-2023-50224として追跡されている既知の脆弱性を利用してTP-Linkルーターを制御していました。

「GRUは米国およびグローバルな被害者の幅広いプールに無差別に侵入し、その後影響を受けたユーザーをフィルタリングしました。特に軍事、政府、および重要インフラに関連する情報をターゲットにしています」と同機関は述べています。

Microsoftはこの攻撃をForest BlizzardおよびStorm-2754として追跡しているサブグループに属すると述べています。技術大手は200以上の組織と5,000台のコンシューマーデバイスが攻撃の影響を受けたことを報告しました。

Microsoftが攻撃の実施方法に関する技術的詳細を共有しました。

「Forest BlizzardはSOHOデバイスへのアクセスを取得し、デフォルトのネットワーク設定を変更して、攻撃者が制御するDNSリゾルバーを使用するようにしました。この悪意のある再構成により、数千台のデバイスがそのDNS要求を攻撃者が制御するサーバーに送信することになりました。
[…]

Forest Blizzardはほぼ確実にdnsmasqユーティリティを使用してDNス解決を実行し、ポート53でDNS照会をリッスンしながら応答を提供しています。dnsmasqユーティリティは、ホームルーターまたは小規模ネットワークで広く使用されるような軽量なネットワークサービスを提供する正当なツールです。そのサービスには、DNS転送キャッシングとDHCPサーバーが含まれており、これらは集合的にアップストリームDNS照会転送とローカルネットワーク上のIP アドレス割り当てを有効にします。

[…]

ほとんどの場合、DNS要求は攻撃者のインフラストラクチャによって透過的にプロキシされ、中断なく正当なサービスエンドポイントへの接続が発生しています。ただし、限定的な数の侵害において、脅威行為者は具体的にターゲットされたドメインに対してDNS応答をスプーフィングして、影響を受けたエンドポイントが攻撃者によって制御されるインフラストラクチャに接続することを強制しました。」

Microsoftは、情報収集に加えて、そのようなAitM攻撃はマルウェア展開またはDoS攻撃に使用される可能性があることに注意しました。

Lumen Technologies(その Black Lotus LabsがこのキャンペーンをFrostArmadaとして追跡しています)は、ルーター攻撃が2025年8月に開始されたようで、英国がロシアのハッカーに対する制裁を発表し、Authentic Anticsというキャンペーンが説明された直後に、ハッカーがMicrosoftクラウドアカウントをターゲットにしていました。

「2025年12月の活動のピークで、Lumenは少なくとも120か国から18,000以上の一意のIPがForest Blizzardのインフラストラクチャとやり取りしていることを検出しました。これらの操作は主に政府機関(外務省、法執行機関、サードパーティメールプロバイダーを含む)をターゲットにしていました」とLumenは述べています。

同社はMicrosoftおよび米国当局がこのキャンペーンで使用されていたインフラストラクチャを撤廃するのを支援しました。

英国の国立サイバーセキュリティセンター(NCSC)は、VPSバナー、ターゲットされたルーターモデル、ドメイン、攻撃者インフラストラクチャに関連するIPアドレス、およびMITRE ATT&CK マッピングを含む侵害指標(IoCs)の長いリストを提供する独自の勧告を発表しました。

NSCはまた、そのような攻撃に対する防御に関する推奨事項を共有しました。

2024年初頭、FBIは同じロシアの脅威グループによって使用されたSOHOルーターボットネットを撤廃したと発表しました。

翻訳元: https://www.securityweek.com/us-disrupts-russian-espionage-operation-involving-hacked-routers-and-dns-hijacking/

ソース: securityweek.com
#Adversary-in-the-Middle 攻撃 #APT28 #DNS ハイジャッキング #Forest Blizzard #GRU #SOHO ルーター #TP-Link #インフラストラクチャ撤廃 #ロシア スパイ活動 #脆弱性悪用

関連記事

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯

Androidアップデートで悪用済みゼロデイおよび123件の脆弱性にパッチ