Российская армия снова взломала домашние и офисные маршрутизаторы в рамках широкомасштабных операций, которые направляют неосведомлённых пользователей на сайты, собирающие пароли и токены аутентификации для использования в шпионских кампаниях, заявили исследователи во вторник.

По оценкам, 18 000 до 40 000 потребительских маршрутизаторов, в основном производства МикроТик и ТП-Линк, расположенных в 120 странах, были вовлечены в инфраструктуру, принадлежащую группе АПТ28, продвинутой угрозе, являющейся частью российского военного разведывательного агентства, известного как ГРУ, заявили исследователи из Лумен Технолоджис и лаборатории Блэк Лотус. Эта группа угроз действует уже не менее двух десятилетий и стоит за десятками высокопрофильных взломов, нацеленных на правительства по всему миру. АПТ28 также отслеживается под именами, включая Пон Сторм, Софаси Групп, Седнит, Цар Тим, Форест Близзард и СТРОНЦИЙ.

Техническая изощрённость, проверенные методы

Небольшое количество маршрутизаторов использовалось в качестве прокси для подключения к гораздо большему количеству других маршрутизаторов, принадлежащих иностранным министерствам, правоохранительным органам и государственным агентствам, на которые АПТ28 хотела шпионить. Затем группа использовала свой контроль над маршрутизаторами для изменения ДНС-запросов для выбранных веб-сайтов, включая, по заявлению Майкрософт, домены для сервиса компании 365.

«Известная тем, что сочетает передовые инструменты, такие как большая языковая модель (ЛЛМ) «ЛАМЕХАГ», с проверенными, устоявшимися методами, Форест Близзард последовательно эволюционирует свои тактики, чтобы оставаться впереди защитников», — написали исследователи Блэк Лотус. «Их предыдущие и текущие кампании подчёркивают как их технологическую изощрённость, так и их готовность пересматривать классические методы атак даже после публичного раскрытия, подчёркивая постоянный риск, исходящий от этого актора для организаций по всему миру».

Чтобы захватить маршрутизаторы, атакующие использовали устаревшие модели, которые не были исправлены против известных уязвимостей безопасности. Затем они изменили настройки ДНС для выбранных доменов и использовали протокол Динамической конфигурации хостов, чтобы распространить их на рабочие станции, подключенные к маршрутизатору. Когда устройства, подключенные к этим маршрутизаторам, посещали выбранные домены, их соединения проксились через вредоносные серверы, прежде чем достичь своего намеченного пункта назначения.

The Russian military is once again hacking home and small office routers in widespread operations that send unwitting users to sites that harvest passwords and credential tokens for use in espionage campaigns, researchers said Tuesday.

An estimated 18,000 to 40,000 consumer routers, mostly those made by MikroTik and TP-Link, located in 120 countries, were wrangled into infrastructure belonging to APT28, an advanced threat group that’s part of Russia’s military intelligence agency known as the GRU, researchers from Lumen Technologies’ Black Lotus Labssaid. The threat group has operated for at least two decades and is behind dozens of high-profile hacks targeting governments worldwide. APT28 is also tracked under names including Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard, and STRONTIUM.

Technical sophistication, tried-and-true techniques

A small number of routers were used as proxies to connect to a much larger number of other routers belonging to foreign ministries, law enforcement, and government agencies that APT28 wanted to spy on. The group then used its control of routers to change DNS lookups for select websites, including, Microsoftsaid, domains for the company’s 365 service.

“Known for blending cutting-edge tools such as the large language model (LLM) ‘LAMEHUG’ with proven, longstanding techniques, Forest Blizzard consistently evolves its tactics to stay ahead of defenders,” Black Lotus researchers wrote. “Their previous and current campaigns highlight both their technological sophistication and their willingness to revisit classic attack methods even after public exposure, underscoring the ongoing risk posed by this actor to organizations worldwide.”

To hijack the routers, the attackers exploited older models that hadn’t been patched against known security vulnerabilities. They then changed DNS settings for select domains and used theDynamic Host Configuration Protocolto propagate them to router-connected workstations. When connected devices visited the selected domains, their connections were proxied through malicious servers before reaching their intended destination.