Microsoft hat gemeinsam mit internationalen Partnern eine Kampagne der Hackergruppe Forest Blizzard offengelegt: Demnach nutzt die mit dem russischen Militär verbundene Gruppe unsichere Heim- und SOHO-Router als verdeckte Infrastruktur für Spionage und weiterführende Angriffe.
- Forest Blizzard kompromittiert anfällige Router und verändert deren Konfiguration – unter anderem DNS-Einstellungen –, um Datenverkehr umzuleiten, Aufklärung zu betreiben und sich hinter legitimer, aber übernommener Infrastruktur zu verbergen.
- Gerade schlecht gesicherte oder veraltete Heim- und Kleinbüro-Geräte werden damit zum Risiko. Sie können unbemerkt als Relais, Beobachtungspunkt oder Sprungbrett für weiterführende Angriffe dienen – auch wenn eigentliche Unternehmensnetzwerke stärker abgesichert sind.
- Betroffen sind nach bisherigem Stand mehr als 200 Organisationen und rund 5.000 Consumer-Geräte; besonders brisant ist, dass Microsoft DNS-Hijacking hier erstmals in grösserem Massstab zur Unterstützung von Adversary-in-the-Middle-Angriffen auf TLS-Verbindungen beobachtet hat.
Es wurden keine eigenen Microsoft-Assets kompromittiert. Gleichzeitig zeigt der Fall, wie attraktiv schlecht gesicherte Geräte und Verbindungen inzwischen für staatlich gesteuerte Cyberoperationen geworden sind. Mehr dazu lesen Sie hier im Blogbeitrag: SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks