Перехват DNS через SOHO routers: предупреждение Microsoft
Кратко
Microsoft Threat Intelligence сообщает, что Forest Blizzard компрометирует уязвимые домашние и офисные routers малого бизнеса, чтобы перехватывать DNS-трафик и в некоторых случаях проводить adversary-in-the-middle атаки на целевые соединения. Эта кампания важна для ИТ-команд, поскольку неуправляемые SOHO-устройства, используемые удалёнными и гибридными сотрудниками, могут подвергать риску доступ к облачным сервисам и конфиденциальные данные, даже если корпоративная среда остаётся защищённой.
Введение
Microsoft раскрыла информацию о масштабной кампании, в рамках которой Forest Blizzard, угроза, связанная с российской военной разведкой, компрометировала уязвимые SOHO routers и изменяла их DNS-настройки. Для организаций с удалёнными и гибридными сотрудниками это важное напоминание: неуправляемое домашнее и небольшое офисное сетевое оборудование может стать слепой зоной, открывающей доступ к Microsoft 365 и другому чувствительному трафику.
Что нового
По данным Microsoft Threat Intelligence, злоумышленник активен как минимум с августа 2025 года и использует скомпрометированные edge-устройства для масштабного развёртывания вредоносной DNS-инфраструктуры.
Ключевые выводы
- Forest Blizzard изменял конфигурации routers, перенаправляя устройства на DNS-резолверы, контролируемые злоумышленником.
- Microsoft выявила более 200 затронутых организаций и 5 000 пользовательских устройств, связанных с вредоносной DNS-инфраструктурой.
- Кампания позволяла выполнять пассивный сбор DNS-данных и разведку в целевых сетях.
- В части случаев злоумышленник использовал эту позицию для поддержки adversary-in-the-middle (AiTM) атак на уровне Transport Layer Security (TLS).
- Microsoft также зафиксировала последующее нацеливание на домены Outlook on the web и отдельную AiTM-активность против государственных серверов в Африке.
Почему это важно для ИТ-администраторов
Главный вывод в том, что корпоративные средства безопасности не обеспечивают полной защиты трафика, если скомпрометирован вышестоящий router пользователя. Домашний или малый офисный router может незаметно перенаправлять DNS-запросы, предоставляя атакующему видимость запрашиваемых доменов и, в отдельных сценариях, возможность подменять ответы и пытаться перехватывать трафик.
Для клиентов Microsoft 365 это особенно актуально, когда пользователи получают доступ к Outlook on the web или другим облачным сервисам из неуправляемых сетей. Даже если сами сервисы Microsoft не скомпрометированы, пользователи всё равно могут подвергаться риску, если игнорируют предупреждения о недействительных TLS-сертификатах или если подозрительная DNS-активность остаётся незамеченной.
Рекомендуемые действия
Microsoft рекомендует несколько немедленных шагов по снижению риска:
- Оцените риски, связанные с домашним и небольшим офисным сетевым оборудованием удалённых пользователей.
- По возможности применяйте доверенное DNS-разрешение, включая элементы управления Zero Trust DNS (ZTDNS) на Windows endpoints.
- Включите network protection и web protection в Microsoft Defender for Endpoint.
- Блокируйте известные вредоносные домены и сохраняйте подробные DNS-журналы для мониторинга и расследований.
- Проведите аудит конфигураций routers и edge-устройств, особенно настроек DNS и DHCP.
- Убедитесь, что уязвимые SOHO-устройства обновлены, безопасно настроены или заменены, если они больше не поддерживаются.
- Обучите пользователей не игнорировать предупреждения TLS-сертификатов.
Итог
Эта кампания показывает, как злоумышленники могут использовать слабо управляемые edge-устройства, чтобы получить видимость более ценных корпоративных целей. Командам безопасности следует расширить модель угроз за пределы корпоративной инфраструктуры и учитывать домашнее офисное сетевое оборудование как часть стратегий удалённого доступа и защиты Microsoft 365.
Нужна помощь с Security?
Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.
Поговорить с экспертомБудьте в курсе технологий Microsoft