DNS preusmeravanje preko SOHO rutera: Microsoft upozorava
Sažetak
Microsoft Threat Intelligence navodi da je Forest Blizzard kompromitovao ranjive kućne i male kancelarijske rutere kako bi preusmeravao DNS saobraćaj i, u nekim slučajevima, omogućio adversary-in-the-middle napade na ciljane veze. Ova kampanja je važna za IT timove jer neupravljani SOHO uređaji koje koriste udaljeni i hibridni radnici mogu izložiti pristup cloud servisima i osetljive podatke čak i kada korporativna okruženja ostanu bezbedna.
Uvod
Microsoft je objavio detalje kampanje velikih razmera u kojoj je Forest Blizzard, akter pretnji povezan sa ruskom vojnom obaveštajnom službom, kompromitovao ranjive SOHO rutere i promenio njihova DNS podešavanja. Za organizacije sa udaljenim i hibridnim radnicima, ovo je važno upozorenje da neupravljana kućna i mala kancelarijska mrežna oprema može postati slepa tačka koja izlaže pristup Microsoft 365 okruženju i drugom osetljivom saobraćaju.
Šta je novo
Prema navodima Microsoft Threat Intelligence, akter je aktivan najmanje od avgusta 2025. godine i koristio je kompromitovane edge uređaje za izgradnju zlonamerne DNS infrastrukture u velikom obimu.
Ključni nalazi
- Forest Blizzard je izmenio konfiguracije rutera kako bi usmerio uređaje ka DNS resolverima pod kontrolom aktera.
- Microsoft je identifikovao više od 200 organizacija i 5.000 potrošačkih uređaja pogođenih zlonamernom DNS infrastrukturom.
- Kampanja je omogućila pasivno prikupljanje DNS podataka i izviđanje unutar ciljanih mreža.
- U delu slučajeva, akter je iskoristio ovu poziciju za podršku Transport Layer Security (TLS) adversary-in-the-middle (AiTM) napadima.
- Microsoft je uočio naknadno ciljanje Outlook on the web domena i odvojene AiTM aktivnosti usmerene na vladine servere u Africi.
Zašto je ovo važno za IT administratore
Najvažniji zaključak je da bezbednosne kontrole u preduzeću ne štite u potpunosti saobraćaj ako je korisnikov upstream ruter kompromitovan. Kućni ili mali kancelarijski ruter može neprimetno preusmeravati DNS upite, dajući napadaču uvid u tražene domene i, u određenim scenarijima, priliku da falsifikuje odgovore i pokuša presretanje saobraćaja.
Za Microsoft 365 korisnike, ovo je posebno relevantno kada korisnici pristupaju Outlook on the web servisu ili drugim cloud uslugama sa neupravljanih mreža. Čak i ako same Microsoft usluge nisu kompromitovane, korisnici i dalje mogu biti izloženi ako ignorišu upozorenja o nevažećim TLS sertifikatima ili ako sumnjiva DNS aktivnost ostane neotkrivena.
Preporučene mere
Microsoft preporučuje nekoliko hitnih koraka za ublažavanje rizika:
- Procenite rizike povezane sa kućnom i malom kancelarijskom mrežnom opremom udaljenih korisnika.
- Primenujte pouzdano DNS razrešavanje gde god je to moguće, uključujući Zero Trust DNS (ZTDNS) kontrole na Windows endpoint uređajima.
- Omogućite network protection i web protection u Microsoft Defender for Endpoint.
- Blokirajte poznate zlonamerne domene i čuvajte detaljne DNS logove za nadzor i istragu.
- Revidirajte konfiguracije rutera i edge uređaja, posebno DNS i DHCP podešavanja.
- Osigurajte da su ranjivi SOHO uređaji zakrpljeni, bezbedno konfigurisani ili zamenjeni ako više nisu podržani.
- Obučite korisnike da ne zaobilaze upozorenja o TLS sertifikatima.
Suština
Ova kampanja pokazuje kako napadači mogu iskoristiti slabo upravljane edge uređaje da steknu uvid u vrednije ciljeve u okviru preduzeća. Bezbednosni timovi treba da prošire svoj model pretnji izvan korporativne infrastrukture i uključe kućnu kancelarijsku mrežnu opremu kao deo strategija za udaljeni pristup i zaštitu Microsoft 365 okruženja.
Trebate pomoć sa Security?
Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.
Razgovarajte sa stručnjakomBudite u toku sa Microsoft tehnologijama