{{Przejęcie DNS w routerach SOHO: ostrzeżenie Microsoftu}}
Podsumowanie
{{Microsoft Threat Intelligence informuje, że Forest Blizzard przejmował podatne routery domowe i biurowe, aby przekierowywać ruch DNS, a w niektórych przypadkach umożliwiać ataki adversary-in-the-middle na wybrane połączenia. Kampania ma znaczenie dla zespołów IT, ponieważ niezarządzane urządzenia SOHO używane przez pracowników zdalnych i hybrydowych mogą narażać dostęp do chmury i wrażliwe dane, nawet gdy środowiska firmowe pozostają bezpieczne.}}
{{## Wprowadzenie Microsoft ujawnił zakrojoną na szeroką skalę kampanię, w której Forest Blizzard, aktor zagrożeń powiązany z rosyjskim wywiadem wojskowym, przejął podatne routery SOHO i zmienił ich ustawienia DNS. Dla organizacji zatrudniających pracowników zdalnych i hybrydowych to ważne przypomnienie, że niezarządzany sprzęt sieciowy w domu i małym biurze może stać się martwym punktem, który naraża dostęp do Microsoft 365 i inny wrażliwy ruch.
Co nowego
Według Microsoft Threat Intelligence aktor działa co najmniej od sierpnia 2025 roku i wykorzystywał przejęte urządzenia brzegowe do budowy złośliwej infrastruktury DNS na dużą skalę.
Kluczowe ustalenia
- Forest Blizzard zmieniał konfiguracje routerów tak, aby kierować urządzenia do resolverów DNS kontrolowanych przez atakującego.
- Microsoft zidentyfikował ponad 200 organizacji i 5 000 urządzeń konsumenckich dotkniętych złośliwą infrastrukturą DNS.
- Kampania umożliwiała pasywne zbieranie danych DNS i rekonesans w atakowanych sieciach.
- W części przypadków aktor wykorzystywał tę pozycję do wspierania ataków adversary-in-the-middle (AiTM) na Transport Layer Security (TLS).
- Microsoft zaobserwował dalsze ukierunkowane działania wobec domen Outlook on the web oraz oddzielną aktywność AiTM przeciwko serwerom rządowym w Afryce.
Dlaczego to ważne dla administratorów IT
Najważniejszy wniosek jest taki, że firmowe mechanizmy bezpieczeństwa nie zapewniają pełnej ochrony ruchu, jeśli router nadrzędny użytkownika został przejęty. Router domowy lub biurowy może po cichu przekierowywać zapytania DNS, dając atakującemu wgląd w żądane domeny oraz, w wybranych scenariuszach, możliwość fałszowania odpowiedzi i prób przechwycenia ruchu.
Dla klientów Microsoft 365 jest to szczególnie istotne tam, gdzie użytkownicy uzyskują dostęp do Outlook on the web lub innych usług chmurowych z niezarządzanych sieci. Nawet jeśli same usługi Microsoft nie zostały naruszone, użytkownicy nadal mogą być narażeni, jeśli zignorują ostrzeżenia o nieprawidłowych certyfikatach TLS lub jeśli podejrzana aktywność DNS pozostanie niewykryta.
Zalecane działania
Microsoft zaleca kilka natychmiastowych działań ograniczających ryzyko:
- Przeanalizuj ryzyka związane z domowym i małobiuro-wym sprzętem sieciowym używanym przez pracowników zdalnych.
- W miarę możliwości wymuszaj zaufane rozwiązywanie DNS, w tym mechanizmy Zero Trust DNS (ZTDNS) na punktach końcowych Windows.
- Włącz network protection i web protection w Microsoft Defender for Endpoint.
- Blokuj znane złośliwe domeny i przechowuj szczegółowe logi DNS na potrzeby monitorowania i dochodzeń.
- Audytuj konfiguracje routerów i urządzeń brzegowych, zwłaszcza ustawienia DNS i DHCP.
- Upewnij się, że podatne urządzenia SOHO są załatane, bezpiecznie skonfigurowane lub wymienione, jeśli nie są już wspierane.
- Przeszkol użytkowników, aby nie omijali ostrzeżeń dotyczących certyfikatów TLS.
Najważniejszy wniosek
Ta kampania pokazuje, jak atakujący mogą wykorzystywać słabo zarządzane urządzenia brzegowe, aby uzyskać wgląd w cele firmowe o wyższej wartości. Zespoły bezpieczeństwa powinny rozszerzyć swój model zagrożeń poza infrastrukturę korporacyjną i uwzględnić domowy sprzęt sieciowy jako element strategii zdalnego dostępu oraz ochrony Microsoft 365.}}
Potrzebujesz pomocy z Security?
Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.
Porozmawiaj z ekspertemBądź na bieżąco z technologiami Microsoft