Российская хакерская группировка Forest Blizzard использует незащищенное интернет-оборудование для домашних офисов и малого бизнеса, такое как маршрутизаторы, для перенаправления трафика через контролируемые злоумышленниками DNS-серверы.
Эта группа использовала данную активность по угону DNS для поддержки атак типа «человек посередине» (Adversary-in-the-Middle, AiTM) после компрометации соединений с использованием Transport Layer Security (TLS), нацеливаясь на домены Microsoft Outlook в вебе, согласно отчету Microsoft Threat Intelligence. Компрометируя граничные устройства вышестоящего уровня, злоумышленники могут использовать менее контролируемые сети в качестве пути доступа к корпоративным средам.
Более 200 организаций и свыше 5000 потребительских устройств уже пострадали от вредоносной DNS-инфраструктуры Forest Blizzard, которая, по данным Microsoft, в основном используется для сбора разведывательной информации в поддержку внешнеполитических задач российского правительства. Эта активность позволяет перехватывать контент, размещенный в облаке, при этом основные цели включают секторы государственного управления, ИТ, телекоммуникаций и энергетики.
Хотя число организаций, конкретно ставших целью атак AiTM на TLS, составляет лишь часть сетей с уязвимыми устройствами SOHO, широкий доступ злоумышленника может позволить проводить атаки AiTM в большем масштабе, которые могут включать активный перехват трафика, говорится в сообщении блога Microsoft.
Угнанные маршрутизаторы, похищенные сеансы
Forest Blizzard, также известная как APT28 по классификации Национального центра кибербезопасности Великобритании, проникла в домашние и офисные маршрутизаторы и изменила их сетевые настройки так, чтобы интернет-трафик направлялся через собственные DNS-серверы злоумышленников. Для этого хакерская группа почти наверняка использовала утилиту dnsmasq для выполнения DNS-разрешения и предоставления ответов, прослушивая порт 53 на предмет DNS-запросов, отметили в Microsoft Threat Intelligence.
В большинстве случаев злоумышленники незаметно отслеживали трафик, не прерывая соединений. Но для определенных целей они подменяли DNS-ответы и активно перенаправляли пользователей на поддельную инфраструктуру, которую они контролировали. К ним относилась часть доменов, связанных с Microsoft Outlook в вебе. Была также выявлена отдельная активность AiTM, нацеленная на серверы, не размещенные Microsoft, как минимум в трех государственных организациях Африки.
«Вредоносная инфраструктура, контролируемая злоумышленником, затем предъявляла жертве недействительный TLS-сертификат, выдавая себя за легитимный сервис Microsoft. Если скомпрометированный пользователь игнорировал предупреждения о недействительном TLS-сертификате, злоумышленник мог активно перехватывать базовый трафик в открытом виде — потенциально включая электронные письма и другой контент клиента — в рамках TLS-соединения», — утверждается в сообщении блога.
Невидимый путь к корпоративным системам
Эта атака представляет серьезный риск для предприятий, поскольку она начинается не с корпоративного периметра, а из сред сотрудников, которые часто менее защищены. Злоумышленники нацеливаются на уязвимые домашние или малые офисные маршрутизаторы, которые часто имеют слабые пароли по умолчанию или неисправленное программное обеспечение.
Переход на удаленную работу значительно расширил корпоративную поверхность атаки, позволяя злоумышленникам проложить путь к учетным записям предприятий без прямого взлома корпоративных систем.
«Реальное влияние огромно. Злоумышленники могут перехватывать учетные данные, перенаправлять трафик на вредоносные сайты или внедрять вредоносное ПО, при этом ни разу не взломав корпоративный файрвол. Это может привести к утечкам данных, финансовому мошенничеству или даже инцидентам с программами-вымогателями, исходящим из гостиной сотрудника», — заявила Апекша Каушик, старший ведущий аналитик Gartner. «Более того, отсутствие видимости и контроля над домашними сетями означает, что эти атаки могут продолжаться незамеченными, подрывая даже самые надежные корпоративные программы безопасности. По сути, каждая незащищенная домашняя сеть становится потенциальной лазейкой в корпоративную среду, что усиливает риски и усложняет реагирование на инциденты».
Защита за пределами корпоративных сетей
Для руководителей служб безопасности (CISO) это расширяет область внимания за пределы простого обеспечения безопасности корпоративных сетей и даже устранения рисков в домашних средах сотрудников и неуправляемых устройствах.
«Во-первых, прекратите использовать пароли. Надежные системы двухэтапной верификации, которые не допускают фишинговых атак, особенно аппаратные токены, могут предотвратить большинство этих атак, даже если учетные данные были получены», — отметил Девруп Дхар, генеральный директор и соучредитель Primus Partners.
Дхар добавил, что CISO следует сосредоточиться на контроле поведения учетных записей. Например, если при входе в систему задействовано необычное местоположение или устройство, необходимо генерировать дополнительные предупреждения или проверки.
«Внедряйте безопасные DNS-решения, используя корпоративные VPN с отключенным разделенным туннелированием (split tunneling) или применяя DNS over HTTPS, чтобы все DNS-запросы обходили локальный домашний маршрутизатор и направлялись непосредственно на доверенные корпоративные серверы», — предложил Амит Джаджу, глобальный партнер Ankura Consulting. «Также внедряйте строгие политики условного доступа, требующие, чтобы устройства были зарегистрированы в системе управления мобильными устройствами (MDM) и помечены как соответствующие требованиям, прежде чем им будет предоставлен доступ к корпоративным облачным ресурсам».
Эксперты также предупреждают, что даже после принятия всех мер предосторожности и мер защиты обучение сотрудников должно быть наивысшим приоритетом, поскольку их необходимо обучать распознавать подозрительное поведение во время процедур входа в систему.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Nidhi Singal
