Russische staatshackers stelen Microsoft-inlogs via DNS-hacks van routers

In dit artikel:

Een Russische hackersgroep met staatsverbindingen, bekend als APT28, heeft wereldwijd tienduizenden routers van kleine en middelgrote bedrijven gekraakt om inloggegevens voor Microsoft 365 te kapen. Volgens onderzoek van Black Lotus Labs en een waarschuwing van het Britse NCSC gebruiken de aanvallers voornamelijk TP-Link- en MikroTik-routers. Door de DNS-instellingen op die apparaten te manipuleren leiden ze authenticatieverzoeken om en kunnen ze gebruikersnamen en wachtwoorden onderscheppen.

Onderzoekers telden zeker 18.000 gecompromitteerde routers in 120 landen; het werkelijke aantal kan oplopen tot circa 40.000 IP-adressen die verbinding maakten met de kwaadaardige DNS-servers. De operatie begon kleinschalig in mei vorig jaar, maar escaleerde na publicatie van het NCSC-rapport "Authentic Antics" op 5 augustus: binnen een dag waren grootschalige omleidingen zichtbaar. De activiteit piekte in december; vooral overheidsinstanties en e-mailproviders werden doelwit.

De kwaadaardige infrastructuur is inmiddels offline gehaald na een gezamenlijke actie van Lumen (waar Black Lotus Labs onderdeel van is), Microsoft, de FBI, het Amerikaanse ministerie van Justitie en internationale partners. Voor organisaties betekent dit dat routers een aantrekkelijk aanvalsvector blijven: kwetsbare firmware, standaardwachtwoorden en onbeveiligde DNS-instellingen kunnen leiden tot grootschalige datadiefstal. Aanbevelingen zijn onder meer up-to-date firmware, sterke en unieke routerwachtwoorden, monitoring van DNS-verkeer en gebruik van multi-factor-authenticatie voor kritieke accounts.