Microsoft ostrzega przed nową operacją grupy Forest Blizzard, która masowo przejmuje kontrolę nad routerami domowymi i biurowymi. Od sierpnia 2025 roku napastnicy wykorzystują te urządzenia do szpiegowania ruchu sieciowego oraz przechwytywania danych z usług chmurowych.
Mechanizm infekcji i szpiegostwa
Forest Blizzard, grupa powiązana z rosyjskim wywiadem wojskowym, koncentruje swoje działania na urządzeniach brzegowych, które zwykle są słabiej chronione niż systemy korporacyjne. Poprzez modyfikację domyślnych ustawień sieciowych, napastnicy zmuszają zainfekowane routery do korzystania z kontrolowanych przez siebie serwerów DNS, wykorzystując do tego legalne narzędzie o nazwie dnsmasq. Taka technika, znana jako DNS hijacking, pozwala hakerom na pasywne monitorowanie aktywności użytkowników oraz przekierowywanie ich ruchu na fałszywe strony.
Skala zagrożenia i cele ataku
Z analizy Microsoftu wynika, iż kampania dotknęła już 5 tysięcy urządzeń konsumenckich oraz ponad 200 organizacji działających w sektorach energetycznym, telekomunikacyjnym i rządowym. Największe ryzyko dotyczy pracowników zdalnych i hybrydowych, którzy łączą się z zasobami firmowymi za pośrednictwem niezarządzanych routerów domowych. Napastnicy są w stanie przechwytywać treść wiadomości e-mail oraz komunikację w chmurze, stosując metodę adversary-in-the-middle (AiTM). Dzieje się tak zwłaszcza w sytuacjach, gdy użytkownicy ignorują systemowe ostrzeżenia o nieprawidłowych certyfikatach bezpieczeństwa TLS.
Metody ochrony infrastruktury
Eksperci podkreślają konieczność wzmocnienia zabezpieczeń poprzez wdrożenie zasad Zero Trust oraz wieloskładnikowego uwierzytelniania (MFA). najważniejsze jest odejście od stosowania rozwiązań typowo domowych w środowiskach biznesowych oraz centralizacja zarządzania tożsamością użytkowników. Microsoft zaleca również regularne monitorowanie logów DNS pod kątem nietypowych zmian parametrów, co pozwala na wykrycie prób przejęcia kontroli nad ruchem sieciowym już na poziomie routera.
![Passus – czy AI to szansa czy ryzyko? [Analiza] (Analizy i komentarze)](https://www.sii.org.pl/static/img/018944/passus-1360.jpg)
