Russische staatshackers stelen Microsoft-inloggegevens via DNS-hacks van routers

In dit artikel:

De Russische hackersgroep APT28, waarvan wordt aangenomen dat die banden met de overheid heeft, heeft wereldwijd inloggegevens voor Microsoft 365 buitgemaakt door routers van met name kleine en middelgrote bedrijven te kapen. De aanvallers richtten zich vooral op toestellen van TP‑Link en MikroTik en wijzigden de DNS‑instellingen om authenticatieverzoeken te onderscheppen en door te leiden naar hun eigen servers.

Beveiligingsonderzoekers van Black Lotus Labs (Lumen) en het Britse National Cyber Security Centre (NCSC) melden dat minstens 18.000 routers in 120 landen onrechtmatig waren gebruikt; mogelijk gaat het in werkelijkheid om tot circa 40.000 apparaten op basis van verbonden IP‑adressen en DNS‑verkeer. De campagne begon kleinschalig in mei vorig jaar, maar escaleerde direct nadat het NCSC op 5 augustus het rapport "Authentic Antics" publiceerde over Windows‑malware die Office‑inloggegevens steelt; de grootschalige routeraanvallen volgden al op 6 augustus en piekten in december. Voornaamste doelwitten waren overheidsinstanties en e‑maildienstverleners.

De kwaadaardige infrastructuur is in internationale samenwerking (onder meer Lumen/Black Lotus Labs, Microsoft, de FBI en het Amerikaanse ministerie van Justitie) offline gehaald. Organisaties en mkb‑gebruikers worden geadviseerd routers up‑to‑date te houden, standaardwachtwoorden te verwijderen, DNS‑instellingen te monitoren en waar mogelijk multi‑factor authenticatie te gebruiken om het risico op credential‑diefstal te verkleinen.