概要
FBIは、「Operation Masquerade」というコードネームで知られる大規模なサイバーセキュリティ作戦を通じて、ロシアの主要情報機関(GRU)によって実行されたグローバルなDNSハッキングキャンペーンを摘発しました。このキャンペーンは、世界中の数千台のTP-Linkルーターを標的としていました。
脅威アクターと攻撃チェーン
このサイバー工作キャンペーンは、GRU軍事部隊第26165部隊(APT28、Fancy Bear、Sofacy GroupまたはForest Blizzardとしても知られる)によって実行されました。これらの国家支援のハッカーたちは、少なくとも2024年からTP-Linkルーターに存在する既知の脆弱性を悪用し、デバイスへの不正アクセスを得るために資格情報を盗みました。
攻撃手法
脅威アクターは、被害者のルーターデバイスのDNS設定を操作し、悪意のあるGRU制御のDNSリゾルバを通じてトラフィックをルーティングさせました。特定のターゲット(軍事、政府、重要なインフラストラクチャ関連の人々)に対しては、偽装されたDNSレコードが提供され、Microsoft Outlook Web Accessなどの正当なサービスを模倣しました。
対応措置
FBIは、裁判所の許可を得て、米国内に存在する被害デバイスに対して特別に開発されたコマンドを直接展開し、脅威アクターからのアクセスルートをブロックしました。MITリンカーン研究所によって広範囲にわたるテストが行われ、脅威アクターの活動を停止させつつ、合法的所有者のインターネット機能やプライベートデータへの影響は最小限に抑えられました。
セキュリティ対策
- ルーターの更新:エンド・オブ・ライフまたはサポートが終了したデバイスを交換し、最新のファームウェアにアップデートします。
- DNS設定の確認:ルーターアドミニストレータ設定でDNSリゾルバの認証を手動で確認します。
- ファイアウォールの設定:リモート管理サービスがインターネットに公開されないようにする厳しいファイアウォール規則を適用します。
FBIは現在、ISPと協力して、この作戦中に修正されたデバイスの所有者に通知を行っています。ルーターが侵害されている可能性があるユーザーは、デバイスを工場出荷時の設定に戻し、最新のセキュリティパッチを適用し、FBIのインターネット犯罪告発センター(IC3)に報告することをお勧めします。