TokyoBlackHatNews

cybersecuritydive.com 4分で読了

米国作戦がハッキングされたSOHOルータからロシアを追放、重要インフラへの侵害に使用

司法省は火曜日、ロシアの軍事情報機関がハッキングされた米国のルータを使用してインターネットトラフィックを悪質にリダイレクトし、政府や重要インフラオペレーターを含む被害者からデータを盗むことを阻止したと発表しました。

ロシアGRUの工作員は数年にわたって世界中のTP-Link小規模オフィス・ホームオフィス(SOHO)ルータへの侵入と再設定を行い、DNS要求をクレムリン管理下のサーバを通じて送信し、モスクワがインターネットトラフィック、さらにはパスワード、メール、その他の機密情報を被害者ネットワークから収集できるようにしました。これに対し、FBIは「Operation Masquerade」を開始し、ハッキングされたルータにコマンドを送信して法医学データを収集し、DNSセッティングをリセットしてロシアのデバイスへの足がかりを消去しました。

司法省が作戦を発表しました。その数時間後にマイクロソフトがロシアによるSOHOルータの悪用を明かしました。「Forest Blizzardのような国家レベルのアクターにとって、」マイクロソフトは述べました。「DNS乗っ取りは大規模での持続的、受動的な可視性と偵察を可能にします。」

マイクロソフトは、研究者がAPT28、Fancy Bear、Forest Blizzardと名付けたGRUハッキンググループが、少なくとも2025年8月以降、SOHOルータへの侵入を行っていたという証拠があると述べました。連邦検察は、このキャンペーンが少なくとも2024年から継続していると述べました。

場合によってはロシアが被害者ネットワークへのアクセスを使用して、Outlook電子メールプラットフォームへのセキュアな接続に対する中間者(AiTM)攻撃を実行したとマイクロソフトと政府は述べました。「自動フィルタリングプロセス」がロシアが傍受する可能性のある高価値DNS要求を選択するのを支援したと、連邦検察は述べました。

Outlookおよびその他の広く使用されているオンラインサービスをスプーフするためにDNSトラフィックを乗っ取ることは、「クラウドホストされたコンテンツの傍受を可能にする」とマイクロソフトは述べました。「政府、情報技術(IT)、通信、エネルギーなどのこのアクターの通常のターゲットである多くのセクターに影響を与えます。」同社は、ハッカーが「アフリカの少なくとも3つの政府機関から」データを盗んでいるのを観察したと述べました。

侵害されたルータへのロシアの広範なアクセスは、その中間者攻撃を劇的に拡大するのに役立つ可能性があるとマイクロソフト研究者は警告しました。「SOHOデバイスをターゲットにすることはロシアの軍事情報アクターにとって新しい戦術、技術、または手順(TTP)ではありませんが、これはマイクロソフトがエッジデバイスを悪用した後、TLS接続のAiTMをサポートするためにDNS乗っ取りを大規模で使用するForest Blizzardを観察したのは初めてです。」

ハッカーはルータへのアクセスを情報収集以外の目的にも使用できとマイクロソフトは述べました。マルウェアの配信またはサービス妨害攻撃の実施を含みます。同社はこれまでのところそのアクティビティを見ていないと述べました。

ルータオーナーへの緊急推奨事項

ビジネスは、ルータのファームウェアをアップグレード、DNSセッティングを確認、リモート管理デバイスをファイアウォール、および製品ライフサイクルの終了した機器を交換することにより、類似の攻撃の被害者となるのを避けることができます。

「DNSベースの攻撃を防ぐために既知の悪質なドメインをブロックし、異常なDNSトラフィックを監視、調査、および洞察を得るために詳細なDNSログを維持してください」とマイクロソフトは述べました。

イギリスの国家サイバーセキュリティセンターもハッキングキャンペーンについてのアドバイザリーを公開しました。「すぐに期限切れのプラットフォームとアプリケーションから移動できない場合」、同機関は述べました。「あなたの立場を改善するために取ることができる短期的なステップがあります。」

サイバー抑止努力の強化

Operation Masqueradeは長年の一連のFBI作戦の米国ルータから外国政府ハッカーを排除した最新の事例です。FBIはそれらの作戦を悪質なサイバーアクティビティに対抗するためのますます積極的な戦略の一部として説明しました。

「この脅威の規模を考慮すると、アラームを鳴らすだけでは不十分でした」とFBIのサイバー部門の責任者であるBrett Leathermanは、政府の作戦についての声明の中で述べました。「FBIは、米国民をターゲットにしている国家が支援するアクターを特定し、コストを課すために、その権限を継続して使用します。」

翻訳元: https://www.cybersecuritydive.com/news/russia-routers-hacking-dns-fbi-disruption/816960/

ソース: cybersecuritydive.com
#DNS乗っ取り #FBI Operation Masquerade #Forest Blizzard #GRU #SOHO ルータ #サイバー攻撃 #セキュリティ脅威 #ロシア #中間者攻撃 #重要インフラ

関連記事

トランプ大統領、強力なAIモデルへの政府早期アクセスを求める大統領令に署名

Red Hat の npm パッケージ30件超がサプライチェーン攻撃の標的に

Anthropic、重要インフラ事業者を含む150以上の組織にMythosを拡大提供