Домашні роутери як інструмент стеження: Microsoft і британські експерти розкрили архітектуру масштабної хакерської кампанії

Microsoft спільно з Національним центром кібербезпеки Великої Британії (NCSC) оприлюднили детальний технічний аналіз кібератаки, яку пов’язують із російською військовою розвідкою. Раніше цю активність вже фіксували СБУ, ФБР та правоохоронні органи ЄС, однак нові дані дозволили глибше дослідити структуру та механізми роботи атакуючої інфраструктури.

Злам через побутові маршрутизатори

У центрі кампанії опинилися SOHO-пристрої — домашні та офісні Wi-Fi роутери, які часто залишаються без оновлень і працюють із типовими налаштуваннями безпеки. Саме вони стали найвразливішою точкою входу. Серед уражених пристроїв згадуються масові моделі TP-Link.

Після отримання доступу до маршрутизаторів зловмисники змінювали їхні мережеві конфігурації, насамперед DNS-налаштування. Це дозволяло перенаправляти інтернет-трафік через контрольовану інфраструктуру та приховано відстежувати потоки даних.

Перехоплення даних через підміну трафіку

Зміна DNS-записів фактично перетворювала скомпрометовані пристрої на проміжні вузли передачі даних. У результаті значна частина інтернет-активності користувачів проходила через інфраструктуру атакувальників.

Такий підхід давав змогу перехоплювати чутливу інформацію, зокрема логіни, токени автентифікації та інші дані доступу. Водночас для користувача з’єднання виглядало звичайним, що ускладнювало виявлення втручання.

Технічний профіль інфраструктури

Аналіз серверної частини виявив повторювані технічні ознаки, що вказують на централізовану структуру управління:

• SSH-доступ через TCP-порт 56777 із DNS-сервісом dnsmasq версії 2.85 на UDP 53
• SSH-доступ через TCP-порт 35681 із тим самим DNS-компонентом

Частина вузлів не містила DNS-сервісів, що свідчить про розподіл ролей у мережі — одні сервери використовувалися для управління, інші для ретрансляції та обробки трафіку.

Роутери як елемент маскування

Скомпрометовані пристрої використовувалися не лише для перехоплення даних, але й як проміжні проксі-вузли. Це дозволяло приховувати реальне походження атак і розподіляти навантаження між численними точками.

Таким чином, заражені роутери формували розподілену інфраструктуру маскування, через яку проходив як користувацький трафік, так і командні дані.

Масштаб і логіка операції

За оцінками дослідників, кампанія мала масштабний характер. Спочатку відбувалося масове зараження доступних пристроїв, після чого інфраструктура використовувалася для виявлення та пріоритизації цілей.

Серед потенційних об’єктів згадувалися державні установи, військові організації та підприємства оборонного сектору.

Рекомендації з кіберзахисту

Експерти радять регулярно оновлювати прошивку роутерів, встановлювати складні унікальні паролі для адміністративного доступу та вимикати віддалене керування, якщо воно не є необхідним.

Якщо пристрій більше не підтримується виробником і не отримує оновлень безпеки, він вважається вразливим, і фахівці рекомендують розглянути його заміну.