SOHO-routerek kompromittálása
A DomainTools Investigations jelentése egy, az orosz hírszerzéshez köthető, többrétegű adatgyűjtési műveletet mutat be, amelyben a támadók nem közvetlenül a célpontokat támadják, hanem a hálózati infrastruktúrát, különösen a routereket, a DNS-forgalmat és az üzenetküldési szolgáltatásokat használják hírszerzési célokra. A kampány kapcsolódik az APT28 / Fancy Bear / Forest Blizzard (GRU 26165) aktivitásához.
A művelet lényege a sérülékeny SOHO-routerek (Small Office Home Office – kis iroda – otthoni iroda) kompromittálása, majd azok DNS-beállításainak módosítása. A támadók saját DNS-szervereikre irányítják át a lekérdezéseket, így passzívan figyelhetik a hálózati forgalmat, azonosíthatják az érdekes célpontokat, és szükség esetén Adversary-in-the-Middle (AiTM) támadásokat hajthatnak végre. Bizonyos esetekben hamis DNS-válaszokat adtak például Microsoft Outlook Web Access szolgáltatásokhoz, hogy hitelesítő adatokat és munkamenet-tokeneket szerezzenek meg.
A jelentés szerint tömegesen kompromittáltak routereket, majd automatizált szűréssel választották ki a hírszerzési szempontból értékes forgalmat. A célpontok között kormányzati szervezetek, külügyi intézmények, kritikus infrastruktúrák, távközlési szolgáltatók és katonai szereplők jelentek meg. A DNS-szintű megfigyelés különösen értékes, mert a támadók így anélkül térképezhetik fel a célpontok kommunikációját és szolgáltatáshasználatát, hogy közvetlenül kompromittálnák a végpontokat.
Az FBI és az amerikai Igazságügyi Minisztérium 2026 áprilisában külön akciót hajtott végre a kompromittált routerekből álló infrastruktúra felszámolására. A kampány jól szemlélteti az orosz hírszerzés jelenlegi megközelítését, a hangsúly egyre inkább a hálózati infrastruktúra kompromittálásán, a DNS-alapú megfigyelésen és a hitelesítési adatok megszerzésén van, nem pedig a látványos malware-műveleteken.
