出典: Lukas Jonaitis via Alamy Stock Photo
ロシアの諜報グループが 1 年以上前から、世界中のターゲットからインターネット トラフィックを静かに盗聴しており、古く愛されていない小規模オフィス/ホームオフィス (SOHO) ルーターの古いバグを利用している。被害者には、北アフリカ、中米、東南アジアの外務省および国家執行機関、ヨーロッパの国家身分証明プラットフォーム、様々なサードパーティ サービス プロバイダー、米国 23 州のターゲットが含まれている。
国際的なサイバー スパイ活動には、未知の回避技術を持つマルウェアやゼロデイ脆弱性など、多くの努力と高度なツールが必要だと想像されるかもしれない。しかし、ロシアの APT28(別名「Fancy Bear」または「Forest Blizzard」など) と、そのサブグループである Storm-2754 は、それが全く当てはまらないことを証明してしまった。
2025 年 5 月以降、また は 2024 年以降、ロシアの参謀本部総局情報総局 (GRU) が支援する脅威グループは、主に MikroTik と TP-Link ルーターですが、排他的ではなく、エッジ デバイスの古いバグを単純に悪用することにより、世界中の中程度から高い価値のある組織で インターネット トラフィックをインターセプトしてきた。また、そのトラフィックを悪意のある仮想プライベート サーバー (VPS) 経由でリダイレクトするように再構成されている。Lumen の Black Lotus Labs および Microsoft の研究者によると、この低労力キャンペーンにより脅威アクターは Web トラフィックを巧みに盗聴でき、メールおよび Web サービスの認証情報を継続的に盗めるようになった。
4 月 7 日、米国司法省 (DoJ) は「Operation Masquerade」と呼ばれる大規模な裁判所指令の破壊活動の発表をした。これは、米国に影響を与えた APT28 キャンペーンの一部に対抗するためのものである。司法省は、軍事、政府、および重要インフラストラクチャ組織が、トロイの木馬化されたルーターを通じてターゲットにされていたことを示唆した。
しかし、上記で述べたようにキャンペーンは米国に限定されていない。2025 年 12 月のピーク時に、Black Lotus Labs は、攻撃者のインフラストラクチャと通信していた少なくとも 120 か国にわたる 18,000 の一意の IP アドレスを特定した。Microsoft は 200 以上の影響を受けた組織と、5,000 以上のコンシューマー デバイスを特定した。
SOHO ルーター経由のロシアのサイバー スパイ活動
APT28 の目的はメール スパイ活動である。その初期の著名な 2016 年の選挙周辺のサイバー攻撃以来、目的はロシア国家にとって関心のある組織と個人に属するメール アカウントへのアクセスを取得することであった。その存在理由をサポートするために、同じ最終目標を達成するための新しい手法を継続的に試している。
この最新のキャンペーンでは、APT28 のメール 危殆化へのパスは主に、MikroTik および TP-Link の SOHO ルーターを経由し、より少ない例では Nethesis および Fortinet のファイアウォール製品を経由している。ハッカーは、ルーター インターフェイスへのアクセスを許可した既知の脆弱性をターゲットにした。例えば、Web でスキャンした 1 つのバグは CVE-2023-50224 であり、これは TP-Link に影響を与える中程度の深刻度の情報開示の問題で、悪用するのに認証は必要としない。この 3 年前の脆弱性により、攻撃者はルーターをリモート管理でき、ドメイン ネーム システム (DNS) 設定を変更してトラフィックを自分たちが制御する VPS 経由でルーティングできた。ルーターを使用している誰かが Web サイトへのアクセスをリクエストするたびに、そのリクエストは APT28 のインフラストラクチャを通過した。Web サイトが APT28 が興味を持つものであれば、例えば Microsoft Outlook on the Web の場合、そのリクエストをプロキシし、被害者がそのオンライン サービスにアクセスするときに被害者の認証情報を盗んだ。
「興味を引いた 1 つのこと: マルウェアがない,」Black Lotus Labs の主要情報セキュリティ エンジニアである Danny Adamitis は Dark Reading に述べている。「ルーターがログインされていたとしても、仮にエンドポイント検出および応答 (EDR) ツールを使用してそのすべてをスキャンしたり、すべてを VirusTotal にアップロードしたりした場合でも、そこには何もない。彼らがやっていることは、あなたの DNS 設定の 1 つのエントリを変更し、彼らが制御および管理する サーバーにトラフィックをルーティングするだけである。」
研究者たちは、APT28 が正確にいつこれをすべて開始したかについて意見が異なる。Microsoft は少なくとも昨年の 8 月に開始したことを示唆した。Black Lotus Labs はおよそ 1 年前の 5 月を引用しており、その時点で、アフガニスタン政府に関連する危険にさらされたルーターを特定した。司法省の Operation Masquerade プレス リリースは、「少なくとも 2024 年」までさかのぼることを示唆した。
いつであれ、それは正しいタイミングだった。2025 年 8 月 6 日、英国の国家サイバー セキュリティ センター (NCSC) は「Authentic Antics」に関するレポートを発行し、Microsoft Office 認証情報とトークンを盗むために設計された APT28 マルウェア ツールについて述べた。APT28 は抑止されたかもしれないが、非常に準備ができていなかったほどだった。翌日、その戦術、技術、および手順 (TTP) が露出して、単にコースを変更し、以下のチャートに示されているように SOHO ルーターに対する新しいキャンペーンにコミットした:
出典: Lumen
DNS はサイバーリスク問題なのか?
Lumen Technologies の情報セキュリティ エンジニアである Ryan English は、組織が SOHO ルーターから離れるために最善を尽くすことを示唆していますが、それらが非常に一般的である理由を認識している。
「APT28 のターゲットだったいくつかの政府が小規模オフィス/ホームオフィス ルーターを使用していたというのは奇妙に思えるが、」と認めながら、「経済、便利さ、およびアクセスの問題である。いくつかの政府はこれを使用することを選択するかもしれないが、それは完璧に機能することもできる。しかし、これらの SOHO ルーターの多くでログを検査することはできない。パッチが必要な場合に手動で更新するのが簡単ではないものもある。つまり、それらは彼ら自身の存在の条件として脆弱である。」
Adamitis にとって、APT28 のキャンペーンはインターネットの基本システムの 1 つである DNS (APT28 の一般的なターゲット) に関する、はるかに重大で難しい問題についてのものである。
この点を示すために、Google マップとの類似を引き出している。Google マップを使用する場合、「Google が正しい方法を教えてくれることを信頼するだけである。システムはそのように機能することになっているからである。別の地図を取得して、それが正しいルートであることを確認するために実際に行動することはない。」と Adamitis は説明している。
同じ意味で、「ユーザーはサーバーがどこにあるかを DNS が伝えることができることを信頼している。」彼は指摘している。「[しかし APT28 は] すべてをバック エンドで変更している。そして、私はみんなにこれについて非常に怖かった理由がわかると思う。」
このキャンペーンのルーター側は、Adamitis は論じるであろう、パッチ と他の基本的なサイバー衛生の間で、自分自身でやるか、助けるために会社を雇うかどうかは、十分簡単である。「そのルーター エコシステムを最新に保つためのメカニズムがある。DNS スペースに相当するものはない。DNS はその性質上、誰も責任を負わない分散型システムである。そして誰も本当に責任を負わないので、[何かがうまくいかないとき]、スパイダーマン ミームで終わる。そこに誰もが指を指して、『いいえ、それは彼ら自身の責任である』と言う。」
「それは本当に、私の心の中で、野蛮な西部である。」彼は言う。
翻訳元: https://www.darkreading.com/threat-intelligence/russia-forest-blizzard-logins-soho-routers
