APT28 kihasználások
Az NCSC az orosz GRU-hoz köthető APT28 nagyszabású, infrastruktúra-szintű kiberkémkedési műveletetére hívja fel a figyelmet, amelyben a támadók sérülékeny routereket használnak fel DNS hijacking végrehajtására. A kompromittált eszközök DHCP/DNS beállításait módosítják, így az áldozatok teljes hálózati forgalma támadó által kontrollált DNS szervereken keresztül kerül feloldásra.
A manipuláció lehetővé teszi az adversary-in-the-middle támadásokat, ahol a felhasználók és a legitim szolgáltatások közé ékelődve a támadók jelszavakat, OAuth tokeneket és egyéb hitelesítési adatokat gyűjtenek, még titkosított kommunikáció esetén is. A módszer hatékony, mert nem a végpontot támadja, hanem a hálózati infrastruktúrát, így minden csatlakozó eszköz érintetté válik.
A támadók először nagy mennyiségű, globálisan elérhető routert kompromittálnak, majd az így megszerzett adatfolyamból kiválasztják a magas hírszerzési értékkel bíró célpontokat. A művelet skálája jelentős, több ezer eszközt és több mint száz országot érinthetett.
A támadók egyre inkább az úgynevezett routereket, SOHO eszközöket használják belépési pontként, mivel ezek gyakran elavultak és alulmenedzseltek. A DNS hijacking ezen a szinten veszélyes, mert láthatatlan, perzisztens és skálázható hozzáférést biztosít, miközben minimális nyomot hagy a hagyományos detekciós rendszerek számára.
Az NCSC részletesen megosztotta a kihasznált eszközök típusait és az APT28 infrastruktúráját, a használt IoC-ket és javaslatot tett a kockázatcsökkentő intézkedésekre.
Pingback: Németország is figyelmeztet – Yet Another News Aggregator Channel