يحذر مركز الأمن السيبراني من أن قراصنة GRU الروس يختطفون أجهزة توجيه TP-Link وMikroTik لسرقة بيانات اعتماد Outlook – استغلت APT28 أجهزة التوجيه الضعيفة لاختطاف DNS وإعادة توجيه حركة المرور عبر خوادم يتحكم فيها المهاجم
نشر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) يوم الثلاثاء تحذيرًا استشاريًا من أن مجموعة القرصنة الحكومية الروسية APT28 تستغل أجهزة توجيه المكاتب الصغيرة والمكاتب المنزلية (SOHO) الضعيفة منذ عام 2024 للكتابة فوق إعدادات DHCP وDNS الخاصة بها، وإعادة توجيه حركة المرور عبر خوادم DNS التي يتحكم فيها المهاجمون لجمع كلمات المرور ورموز المصادقة المميزة لخدمات الويب والبريد الإلكتروني. يقدر NCSC أن APT28 هو “من شبه المؤكد” مركز الخدمة الخاصة الرئيسي رقم 85 التابع لمديرية المخابرات الروسية (GRU)، وحدة الاستخبارات العسكرية 26165.
وفقًا للتقرير الاستشاري، قام الممثل بتكوين خوادم خاصة افتراضية للعمل كمحلل DNS ضار، ثم توجيه أجهزة توجيه SOHO المخترقة إليها عن طريق إعادة كتابة إعدادات DHCP DNS الخاصة بأجهزة التوجيه. ترث أجهزة الكمبيوتر المحمولة والهواتف والأجهزة الأخرى الموجودة على الشبكة هذه الإعدادات تلقائيًا وتبدأ في إرسال عمليات البحث إلى البنية التحتية التي يتحكم فيها المهاجم.
تتم الإشارة إلى عمليات البحث عن النطاقات المرتبطة بالخدمات المستهدفة، مثل صفحات تسجيل الدخول، إلى المزيد من عناوين IP المملوكة للمهاجم والتي تستضيف بنية تحتية للخصم. وفي الوقت نفسه، يتم حل الطلبات خارج معايير الاستهداف إلى العناوين الشرعية لتجنب قطع الاتصال.
يستمر المقال أدناه
بمجرد اتصال الضحية عبر البنية التحتية للمهاجم، تحاول APT28 التقاط كلمات المرور وOAuth أو رموز المصادقة المماثلة من جلسات المتصفح وتطبيقات سطح المكتب. تشمل المجالات المستهدفة المدرجة في الاستشارة autodiscover-s.outlook.com وimap-mail.outlook.com وoutlook.live.com وoutlook.office.com وoutlook.office365.com.
تم تسمية جهاز التوجيه TP-Link WR841N بواسطة NCSC باعتباره أحد النماذج التي استغلتها APT28، على الأرجح باستخدام CVE-2023-50224، وهو عيب في الكشف عن معلومات غير مصادق عليها يسمح للمهاجم باسترداد بيانات الاعتماد من خلال طلب HTTP GET. عندما يكون لدى جهة التهديد بيانات اعتماد جهاز التوجيه، يقوم طلب GET ثانٍ بإعادة كتابة إعدادات DHCP DNS، مما يؤدي إلى تعيين DNS الأساسي على عنوان IP ضار والثانوي على الأساسي الأصلي.
يسرد الاستشارة أكثر من 20 طرازًا إضافيًا من TP-Link مستهدفة في الحملة، بما في ذلك أجهزة التوجيه Archer C5 وC7 وWDR3500 وWDR3600 وWDR4300 وWR1043ND وMR3420 وMR6400 LTE، والعديد من المتغيرات من WR740N وWR840N وWR841N وWR842N. WR845N، وWR941ND. تلقت المجموعة الثانية من البنية التحتية للمهاجمين طلبات DNS المرسلة من أجهزة توجيه MikroTik المخترقة بالإضافة إلى معدات TP-Link، وتم استخدامها أيضًا في العمليات التفاعلية ضد مجموعة أصغر من أجهزة توجيه MikroTik “الموجودة غالبًا في أوكرانيا” والتي قال NCSC إنها على الأرجح ذات قيمة استخباراتية.
يصف NCSC الحملة بأنها انتهازية، حيث تقوم APT28 بتشكيل شبكة واسعة عبر أجهزة التوجيه المكشوفة ثم تصفية مجموعة الضحايا الناتجة عن الأهداف ذات الاهتمام الاستخباراتي في كل مرحلة. فيما يتعلق بالتخفيف من المخاطر، توصي NCSC بالنصيحة المعتادة المتمثلة في تحديث البرامج الثابتة لجهاز التوجيه، وعدم تعريض واجهات الإدارة مطلقًا للإنترنت، وتمكين المصادقة متعددة العوامل على الحسابات التي قد تكون عرضة لسرقة بيانات الاعتماد.
احصل على أفضل أخبار Tom's Hardware والمراجعات المتعمقة، مباشرة إلى صندوق الوارد الخاص بك.
تم ربط APT28، التي يتم تتبعها أيضًا باسم Fancy Bear وForest Blizzard وSofacy، سابقًا من قبل NCSC باختراق البرلمان الألماني عام 2015 ومحاولة التسلل عام 2018 إلى منظمة حظر الأسلحة الكيميائية.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات