Домашние роутеры как инструмент слежки: Microsoft и британские специалисты раскрыли архитектуру масштабной хакерской кампании

Microsoft совместно с Национальным центром кибербезопасности Великобритании (NCSC) опубликовали детальный технический анализ кибероперации, которую связывают с российской военной разведкой. Ранее эту активность уже фиксировали СБУ, ФБР и структуры ЕС, однако новые данные позволили глубже изучить устройство атакующей инфраструктуры и методы её работы.

Взлом через бытовые маршрутизаторы

В центре кампании оказались SOHO-устройства — домашние и офисные Wi-Fi роутеры, которые нередко остаются без обновлений и используют стандартные настройки безопасности. Именно такие устройства становились наиболее уязвимым звеном. Среди них упоминаются широко распространённые модели TP-Link.

После получения доступа к маршрутизаторам злоумышленники изменяли их сетевые параметры, в первую очередь DNS-настройки. Это позволяло им перенаправлять интернет-трафик через собственные серверы и скрытно контролировать поток данных.

Перехват данных через подмену маршрутов

Изменение DNS-записей превращало заражённые устройства в промежуточные точки передачи трафика. В результате значительная часть интернет-активности пользователей проходила через инфраструктуру атакующих.

Такой подход создавал возможность для перехвата чувствительной информации, включая логины, токены авторизации и другие данные доступа. При этом для пользователей соединение оставалось внешне нормальным, что затрудняло обнаружение вмешательства.

Технический профиль инфраструктуры

Анализ серверной части показал повторяющиеся технические признаки, указывающие на централизованную структуру управления:

• SSH-доступ через TCP-порт 56777 с DNS-сервисом dnsmasq версии 2.85 на UDP 53
• SSH-доступ через TCP-порт 35681 с аналогичным DNS-компонентом

Часть узлов не содержала DNS-сервисы, что говорит о разделении ролей внутри сети — одни серверы использовались для управления, другие для перенаправления и обработки трафика.

Роутеры как элемент маскировки

Скомпрометированные устройства применялись не только для перехвата данных, но и как промежуточные прокси-узлы. Это позволяло скрывать реальные источники атак и распределять нагрузку между множеством точек.

Таким образом, заражённые роутеры формировали распределённую инфраструктуру маскировки, через которую проходил как пользовательский трафик, так и управляющие команды.

Масштаб и логика операции

По оценке специалистов, атака имела массовый характер. Сначала происходило широкое заражение доступных устройств, после чего инфраструктура использовалась для отбора и приоритизации целей.

В числе потенциальных объектов упоминались государственные учреждения, военные структуры и предприятия оборонного сектора.

Рекомендации по киберзащите

Эксперты советуют регулярно обновлять прошивку роутеров, устанавливать сложные уникальные пароли для администрирования и отключать удалённый доступ, если он не требуется.

Если устройство больше не поддерживается производителем и не получает обновлений безопасности, его использование считается уязвимым, и специалисты рекомендуют рассмотреть его замену.