ロシア軍がルーター数万台をハック、認証情報を窃取
原題: Thousands of consumer routers hacked by Russia's military
なぜ重要か
国家レベルのサイバー攻撃が消費者ルーターを踏み台に企業認証情報を狙う新たな脅威モデルを示している
ロシア軍諜報機関GRUのAPT28グループが、世界120カ国のMikroTikとTP-Link製を中心とする家庭・小規模オフィス向けルーター18,000~40,000台をハッキング。DNS設定を改変してMicrosoft 365ドメインなどへのアクセスを傍受し、多要素認証後のOAuthトークンと認証情報を窃取。Lumen Technologies研究者が発表。
ロシア軍諜報機関GRU傘下の脅威グループAPT28が、世界規模でルーターハッキング作戦を展開していることが判明した。Lumen TechnologiesのBlack Lotus Labsが発表した。攻撃対象は主にMikroTikとTP-Link製の家庭・小規模オフィス向けルーター18,000~40,000台で、120カ国に分散している。APT28はPawn Storm、Sofacy Group、Forest Blizzardなどの名称でも知られ、20年以上活動している。攻撃手法では、セキュリティパッチが適用されていない旧型ルーターの脆弱性を悪用してアクセスを獲得。DNS設定を改変し、DHCPプロトコルでルーター接続端末に悪意のあるDNS設定を配布した。ユーザーがMicrosoft 365などの選定ドメインにアクセスすると、通信が悪意のあるサーバーを経由するよう仕向けられる。これらの中間者攻撃サーバーは自己署名証明書を使用し、ユーザーがブラウザの警告を無視して接続すると、多要素認証完了後のOAuthトークンを含む全通信データを傍受した。作戦は2025年5月に少数のデバイスで開始。8月に英国サイバーセキュリティセンターが関連する警告を発表した翌日、攻撃規模が急激に拡大した。12月12日から4週間で29万以上の固有IPアドレスが悪意のあるDNSサーバーに少なくとも1回のリクエストを送信したことが観測されている。