英国のセキュリティ当局者は、ロシア軍に関連するグループが、広範なサイバースパイ作戦で侵害された小規模オフィス/ホームオフィス(SOHO)ルータのユーザーをスパイしていることを発見しました。Microsoftのブログには、これらの攻撃の技術的詳細が記載されています。
このグループはAPT28と呼ばれていますが、Fancy Bear、BlueDelta、Forest Blizzardなどの名前でも知られており、侵害されたルータのDNS設定を変更して、トラフィックが彼らの管理下にあるサーバを通じて送信されるようにします。これにより、APT28はユーザーをスパイすることができます。
ドメインネームシステム(DNS)は、インターネットドメイン名を検索し、インターネットプロトコル(IP)アドレスに変換する方法です。デバイスは通常、動的ホスト構成プロトコル(DHCP)を使用してルータからネットワーク設定を取得します。
攻撃者がルータのDNS設定を改ざんできれば、トラフィックを彼らの管理する基盤を通じて静かに操作し、ログイン情報を収集し、場合によってはユーザーと実際のサービスの間に自分たちを配置することができます。このため、このキャンペーンは認証情報の盗用と、Microsoft 365やその他のクラウドトラフィックの標的化された傍受をサポートすることができます。
FBI公開サービスお知らせによると、APT28は以下のことを行っています:
「…パスワード、認証トークン、およびセキュアソケットレイヤー(SSL)およびトランスポートレイヤーセキュリティ(TLS)暗号化によって通常保護されるメールとWebブラウジング情報を含む機密情報を収集しています。」
FBIによると、このグループは米国および世界中で広い網を張った後、被害者を軍事、政府、および重要インフラストラクチャに関連する情報にアクセスできる被害者に絞り込みました。
NCSC勧告は、認証されていない攻撃者が特別に作成されたHTTP GETリクエストを介してユーザー名やパスワードなどの情報を取得できる既知の脆弱性を持つTP-Link(WR841N)の単一モデルを指摘しています。このルータモデルは消費者および中小企業に広く販売されており、通常は主要インターネットサービスプロバイダーによる標準装置として使用されません。この記事には、APT28によって標的にされた他の多くのTP-Linkルータモデルの長いが完全ではないリストも含まれています。
Microsoftの脅威インテリジェンスは、Forest Blizzardの悪意のあるDNSインフラストラクチャによって影響を受けた200以上の組織と5,000台のコンシューマデバイスを特定したと述べています。
ルータ禁止論争
数週間前、FCCがメーカーが免除を取得しない限り、外国製ルータのインポートを効果的に停止することを決定したことについてコメントしました。これはFCCが「米国の国家安全保障または米国人の安全とセキュリティに対する受け入れがたいリスク」と呼んだためです。
APT28の行動は、FCCが停止しようとしている種類のリスクを示していますが、私たちのポイントも強化しています。ルータ禁止およびサプライチェーン制限に関する議論は国家の出身地にしばしば焦点を当てていますが、より大きな問題は、デバイスが実際にはセキュアであるかどうかです。ルータが弱いデフォルト、貧弱なアップデートサポート、または紛らわしいセットアッププロセスで出荷された場合、それがどこで作られたかに関わらず、ターゲットになります。攻撃者は完璧さを必要としません。彼らはスパイとリダイレクトのための大規模で静かなインフラストラクチャを構築するのに十分な露出したデバイスが必要なだけです。
あなたが取れる対策
設定が大丈夫かどうかを確認するために、設定がデバイス固有の場合があるため、一般的な指示しか提供できません。しかし、この方法は通常機能します:
ルータのDHCP設定がISPの意図と一致していることを確認する方法:
- デバイス上の現在のDHCP情報を確認してください。
ホームネットワークに接続されたPCまたはスマートフォンでネットワークの詳細を開き、デバイスが使用しているIPアドレス、サブネットマスク、デフォルトゲートウェイ、およびDNSサーバーをメモしてください。 - ルータにログインして、そのWAN/インターネット設定を見つけてください。
ルータのWebインターフェースで、「ステータス」または「インターネット」ページを確認して、ISPから受け取ったアドレスと、どのDNSサーバーに構成されているかを見てください。 - ISPのドキュメントまたは指示と比較してください。
ISPのサポートページを確認するか、サポートに連絡して、接続がDHCPまたはPPPoEを使用すべきか、パブリックIPが何の範囲から来るべきか、通常提供するDNSサーバーは何かについて確認してください。大きな不一致(例えば、別の国またはよく知らない組織からのDNSサーバー)は、さらに調査する理由です。 - カスタムDNSを使用している場合は、それを記録してください。
意図的に代替DNS(例えば、プライバシーまたはセキュリティリゾルバー)を使用している場合は、それをメモしておき、ルータとクライアントがあなたが選んだアドレスをまだ使用していることを定期的に再確認してください。
その他の対策
余裕があり、まだ持っていない場合は、Wi-Fi 7にアップグレードして、現在のモデルがまだ店舗にある間に、セットアップを将来に対応させるのに役立ててください。
少なくとも以下のことをすべきです:
- ルータのデフォルトユーザー名とパスワードを推測しやすいものではなく、別のものに変更してください。
- ベンダーのウェブサイトを確認してアップデートを確認し、EOL日付を確認して最新のファームウェアバージョンに更新してください。
- 可能な限り、インターネットからのリモート管理インターフェースを無効にしてください。
- すべてのユーザーは、Webブラウザとメールクライアントの証明書警告を慎重に検討すべきです。これは安全な接続に何か問題があることを示し、本物のサイトと通信していないことを意味する可能性があります。
技術的に自信のあるユーザーの場合、ベンダーファームウェアをOpenWrtまたはDD-WRTなどのオープンソース代替品に置き換えると、ルータのセキュアな寿命を延ばすことができます。しかし、これには保証を無効にしたり、デバイスをブリックする可能性があるなどのリスクが伴います。これを行うか、行う場合は、トラブルシューティングに慣れている場合にのみ行うべきです。
米国市民がロシアのサイバー侵入によって標的にされたか侵害されたと疑う場合は、その活動を彼らの地域のFBI現地事務所に報告するか、IC3に苦情を提出するよう求められます。デバイスタイプとDHCP構成を含む影響を受けたルータに関する詳細を提供してください。
