Microsoft у співпраці з Національним центром кібербезпеки Великої Британії (NCSC) опублікували детальний технічний аналіз кібератаки, пов’язаної з російською військовою розвідкою. Раніше цю активність зафіксували СБУ, ФБР та правоохоронні органи ЄС, але нові дані дозволили глибше дослідити структуру та механізми роботи атакуючої інфраструктури.
Вразливість побутових маршрутизаторів
У центрі кампанії виявилися SOHO-пристрої — домашні та офісні Wi-Fi роутери, які часто залишаються без оновлень і використовують стандартні налаштування безпеки. Саме ці пристрої стали найслабшою ланкою. Серед уражених моделей згадуються популярні TP-Link.
Отримавши доступ до маршрутизаторів, зловмисники змінювали їхні мережеві конфігурації, зокрема налаштування DNS. Це дозволяло перенаправляти інтернет-трафік через контрольовану інфраструктуру, що давало змогу приховано відстежувати дані.
Перехоплення даних через зміну трафіку
Зміна DNS-записів фактично перетворювала скомпрометовані пристрої на проміжні вузли передачі даних. Як результат, значна частина інтернет-активності користувачів проходила через інфраструктуру зловмисників. Це дозволяло перехоплювати чутливу інформацію, зокрема логіни, токени автентифікації та інші дані доступу, при цьому для користувача з’єднання виглядало звичайним, що ускладнювало виявлення втручання.
Технічний профіль інфраструктури
Аналіз серверної частини виявив повторювані технічні ознаки, які свідчать про централізовану структуру управління: SSH-доступ через TCP-порт 56777 з DNS-сервісом dnsmasq версії 2.85 на UDP 53, а також SSH-доступ через TCP-порт 35681 з тим самим DNS-компонентом. Частина вузлів не містила DNS-сервісів, що вказує на розподіл ролей у мережі — одні сервери використовувалися для управління, інші — для ретрансляції та обробки трафіку.
Роутери як елемент маскування
Скомпрометовані пристрої використовувалися не лише для перехоплення даних, але й як проміжні проксі-вузли. Це дозволяло приховувати реальне походження атак і розподіляти навантаження між численними точками. Таким чином, заражені роутери формували розподілену інфраструктуру маскування, через яку проходив як користувацький трафік, так і командні дані.
Масштаб і логіка операції
За оцінками дослідників, кампанія мала великий масштаб. Спочатку відбувалося масове зараження доступних пристроїв, після чого інфраструктура використовувалася для виявлення та пріоритизації цілей. Потенційними об’єктами були державні установи, військові організації та підприємства оборонного сектору.
Рекомендації з кіберзахисту
Експерти радять регулярно оновлювати прошивку роутерів, використовувати складні унікальні паролі для адміністративного доступу та вимикати віддалене керування, якщо воно не є необхідним. Якщо пристрій більше не підтримується виробником і не отримує оновлень безпеки, його слід вважати вразливим і розглянути можливість заміни.