หน่วยงานด้านความปลอดภัยไซเบอร์เตือน แฮกรัฐรัสเซียกำลังยึดเราเตอร์ TP-Link และ MikroTik เพื่อขโมยข้อมูลล็อกอิน Outlook โดยกลุ่ม APT28 ใช้วิธีโจมตี DNS และเปลี่ยนเส้นทางทราฟฟิกไปยังเซิร์ฟเวอร์ของผู้โจมตี

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกคำเตือนเมื่อวันอังคารว่า กลุ่มแฮกเกอร์รัฐรัสเซีย APT28 ได้ใช้ช่องโหว่ของเราเตอร์ขนาดเล็กสำหรับบ้านและสำนักงาน (SOHO) ตั้งแต่ปี 2024 เพื่อแก้ไขค่าการตั้งค่า DHCP และ DNS ทำให้ทราฟฟิกของผู้ใช้งานถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ DNS ของผู้โจมตี เพื่อดักจับรหัสผ่านและโทเค็นยืนยันตัวตนของบริการเว็บและอีเมล

NCSC ประเมินว่า APT28 มีความเป็นไปได้สูงมากว่าเป็นหน่วยงาน 26165 ของหน่วยข่าวกรองทหารรัสเซีย (GRU)

ตามรายงาน กลุ่มผู้โจมตีได้ตั้งค่าเซิร์ฟเวอร์เสมือน (VPS) ให้ทำหน้าที่เป็น DNS ปลอม และแก้ไขค่า DNS ใน DHCP ของเราเตอร์ที่ถูกเจาะระบบ เมื่ออุปกรณ์ต่าง ๆ เช่น โน้ตบุ๊ก สมาร์ตโฟน เชื่อมต่อกับเครือข่าย ก็จะรับค่า DNS เหล่านี้โดยอัตโนมัติ และส่งคำขอไปยังโครงสร้างพื้นฐานของผู้โจมตี

สำหรับโดเมนเป้าหมาย เช่น หน้าเข้าสู่ระบบของบริการต่าง ๆ คำขอจะถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของผู้โจมตีที่ทำหน้าที่เป็นตัวกลาง (adversary-in-the-middle) ขณะที่คำขออื่น ๆ จะถูกส่งไปยังปลายทางจริงเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ

เมื่อเหยื่อใช้งานผ่านโครงสร้างนี้ APT28 จะพยายามดักจับรหัสผ่านและโทเค็นยืนยันตัวตน เช่น OAuth จากทั้งเบราว์เซอร์และแอปพลิเคชัน โดยโดเมนเป้าหมายที่ระบุ ได้แก่ autodiscover-s.outlook.com, imap-mail.outlook.com, outlook.live.com, outlook.office.com และ outlook.office365.com

เราเตอร์ TP-Link รุ่น WR841N ถูกระบุว่าเป็นหนึ่งในรุ่นที่ถูกโจมตี โดยคาดว่าใช้ช่องโหว่ CVE-2023-50224 ซึ่งเป็นช่องโหว่ที่สามารถดึงข้อมูลสำคัญโดยไม่ต้องยืนยันตัวตนผ่าน HTTP GET request เมื่อผู้โจมตีได้ข้อมูลล็อกอินแล้ว ก็จะใช้คำสั่งอีกครั้งเพื่อแก้ไขค่า DNS ให้ชี้ไปยังเซิร์ฟเวอร์อันตราย

นอกจากนี้ ยังมีเราเตอร์ TP-Link อีกกว่า 20 รุ่นที่ตกเป็นเป้าหมาย เช่น Archer C5, C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 และรุ่นในตระกูล WR740N, WR840N, WR841N, WR842N, WR845N และ WR941ND

ยังพบโครงสร้างโจมตีอีกชุดที่รับคำขอ DNS จากเราเตอร์ MikroTik ที่ถูกเจาะระบบ รวมถึงมีการโจมตีแบบเจาะจงไปยังอุปกรณ์ MikroTik บางส่วน โดยเฉพาะในยูเครน ซึ่งคาดว่ามีความสำคัญด้านข่าวกรอง

NCSC ระบุว่าการโจมตีครั้งนี้เป็นแบบหว่านกว้าง (opportunistic) โดยเจาะระบบเราเตอร์จำนวนมากก่อน แล้วคัดเลือกเป้าหมายที่มีมูลค่าทางข่าวกรองในภายหลัง

แนวทางป้องกันที่แนะนำ ได้แก่ อัปเดตเฟิร์มแวร์เราเตอร์ให้เป็นเวอร์ชันล่าสุด หลีกเลี่ยงการเปิดหน้าแอดมินของเราเตอร์สู่สาธารณะ และเปิดใช้งานการยืนยันตัวตนหลายขั้นตอน (MFA) สำหรับบัญชีสำคัญ

APT28 หรือที่รู้จักในชื่อ Fancy Bear, Forest Blizzard และ Sofacy เคยมีความเชื่อมโยงกับเหตุการณ์แฮกระบบรัฐสภาเยอรมนีในปี 2015 และความพยายามเจาะระบบองค์การห้ามอาวุธเคมี (OPCW) ในปี 2018

ที่มา: Tom's Hardware