APT28 przejmował routery SOHO, by kraść tokeny Microsoft Office i omijać MFA

Wprowadzenie do problemu / definicja

Przejęcie routera brzegowego to jeden z najbardziej niedocenianych scenariuszy ataku we współczesnych środowiskach hybrydowych. Gdy napastnik uzyska kontrolę nad urządzeniem SOHO, może zmienić konfigurację DNS i przechwytywać ruch użytkowników bez instalowania złośliwego oprogramowania na komputerach czy smartfonach. W opisywanej kampanii rosyjski aktor państwowy Forest Blizzard, znany również jako APT28, wykorzystał tę metodę do pozyskiwania tokenów uwierzytelniających użytkowników usług Microsoft Office i Outlook w modelu adversary-in-the-middle.

W skrócie

Microsoft oraz niezależni badacze ostrzegli o szeroko zakrojonej operacji cyberszpiegowskiej prowadzonej przez grupę powiązaną z rosyjskim wywiadem wojskowym. Atak polegał na kompromitacji podatnych routerów SOHO, zmianie ustawień DNS na kontrolowane przez napastników oraz selektywnym przekierowywaniu części połączeń do infrastruktury umożliwiającej przechwycenie tokenów OAuth i innych danych sesyjnych.

Według opublikowanych ustaleń kampania objęła ponad 200 organizacji i około 5 tysięcy urządzeń konsumenckich, a w szczytowym momencie aktywności infrastruktura opierała się na przeszło 18 tysiącach przejętych routerów. Celem były przede wszystkim podmioty rządowe, sektor IT, telekomunikacja, energia oraz dostawcy usług pocztowych.

Kontekst / historia

Forest Blizzard to nazwa stosowana przez Microsoft wobec aktora znanego również jako Fancy Bear i APT28, od lat łączonego z rosyjskim GRU. Grupa jest kojarzona z operacjami wywiadowczymi, kradzieżą informacji i kampaniami wymierzonymi w instytucje publiczne oraz infrastrukturę krytyczną. Od co najmniej sierpnia 2025 roku operatorzy tej grupy rozwijali technikę wykorzystywania podatnych urządzeń brzegowych w małych biurach i sieciach domowych.

Istotnym elementem ewolucji tej kampanii było odejście od bardziej widocznych metod utrzymywania trwałej kontroli nad routerami na rzecz prostszej i trudniejszej do wykrycia zmiany konfiguracji DNS. Dzięki temu atakujący nie musieli wdrażać rozbudowanego malware na przejętych urządzeniach. Wystarczało wykorzystać znane luki w starszych lub niewspieranych modelach routerów, szczególnie z segmentu MikroTik i TP-Link, aby włączyć je do własnej infrastruktury przechwytującej.

Analiza techniczna

Łańcuch ataku był technicznie prosty, ale operacyjnie bardzo skuteczny. Pierwszym etapem była kompromitacja routerów SOHO poprzez wykorzystanie znanych podatności lub słabo zabezpieczonych urządzeń końcowych. Po uzyskaniu dostępu operatorzy modyfikowali konfigurację sieciową routera, tak aby urządzenia klientów korzystały z serwerów DNS kontrolowanych przez napastników.

To przesunięcie punktu kontroli na warstwę rozwiązywania nazw domen miało kluczowe znaczenie. W typowej sieci lokalnej stacje robocze i urządzenia mobilne pobierają ustawienia sieciowe przez DHCP z routera brzegowego. Jeżeli router zostanie przejęty, napastnik może narzucić własne resolvery DNS całej podsieci. W rezultacie widzi zapytania DNS, może analizować wzorce ruchu, a przy wybranych domenach zwracać spreparowane odpowiedzi prowadzące ofiarę do kontrolowanej infrastruktury pośredniczącej.

Według opublikowanych analiz w większości przypadków ruch był transparentnie proxy’owany, tak aby użytkownik nadal trafiał do prawidłowych usług i nie zauważał zakłóceń. Jednak dla wybranych domen związanych z usługami pocztowymi i chmurowymi Microsoft atakujący stosowali scenariusz AiTM dla połączeń TLS. Taki model pozwalał przechwytywać dane uwierzytelniające po poprawnym logowaniu, w tym tokeny OAuth lub inne artefakty sesyjne.

To szczególnie niebezpieczne, ponieważ token przechwycony po zakończeniu procesu MFA może umożliwić dostęp do konta bez konieczności ponownego wyłudzania hasła i kodu jednorazowego. Kampania pokazała również, że kompromitacja urządzenia sieciowego znajdującego się poza formalnie zarządzaną infrastrukturą przedsiębiorstwa może stać się skutecznym punktem wejścia do obserwacji ruchu pracowników zdalnych.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem tego typu operacji jest obejście części klasycznych mechanizmów obronnych opartych na ochronie endpointów. Brak malware na stacji roboczej znacząco utrudnia detekcję przez EDR i tradycyjne systemy antywirusowe. Organizacja może błędnie uznać środowisko za bezpieczne, mimo że ruch użytkowników jest monitorowany lub selektywnie przekierowywany już na poziomie routera.

• przejęcie sesji w usługach Microsoft 365 i Outlook on the web,
• kradzież tokenów dostępowych i odświeżających,
• rozpoznanie infrastruktury i pasywne gromadzenie metadanych DNS,
• możliwość dalszych ataków na konta uprzywilejowane i skrzynki pocztowe,
• ekspozycja organizacji korzystających z pracy zdalnej i modelu BYOD,
• trudności w ustaleniu, czy źródłem incydentu jest endpoint, chmura czy infrastruktura sieciowa użytkownika.

Szczególnie narażone są instytucje publiczne, dostawcy usług i organizacje, których pracownicy łączą się z zasobami firmowymi z domu lub z małych oddziałów wykorzystujących tanie, niewspierane urządzenia brzegowe. W praktyce oznacza to rozszerzenie powierzchni ataku poza tradycyjny perymetr przedsiębiorstwa.

Rekomendacje

Organizacje powinny potraktować routery SOHO jako pełnoprawny element łańcucha bezpieczeństwa dostępu do usług chmurowych. W odpowiedzi na opisaną kampanię warto wdrożyć następujące działania:

• zidentyfikować pracowników i lokalizacje korzystające z niezarządzanych routerów domowych lub małobiuro­wych,
• wymusić aktualizację firmware’u urządzeń brzegowych oraz wycofanie modeli typu end-of-life i end-of-support,
• sprawdzić konfigurację DNS, DHCP, zdalnego zarządzania oraz listę administratorów na routerach używanych do pracy zdalnej,
• wyłączyć niepotrzebne usługi administracyjne wystawione do Internetu, w szczególności zdalny panel zarządzania,
• monitorować anomalie związane z logowaniem do Microsoft 365, w tym nietypowe token replay, niestandardowe źródła połączeń i wzorce sesji po MFA,
• stosować mechanizmy Conditional Access, ograniczenia sesji, krótszy czas życia tokenów oraz dodatkową weryfikację ryzyka logowania,
• rozważyć ochronę ruchu użytkowników zdalnych przez korporacyjne tunele, bezpieczne resolvery DNS, ZTNA lub agentów sieciowych ograniczających zależność od lokalnej konfiguracji routera,
• przeprowadzić hunting pod kątem podejrzanych zmian w rozwiązywaniu nazw, przekierowań do nietypowych adresów IP oraz zdarzeń wskazujących na AiTM,
• uzupełnić procedury IR o scenariusz kompromitacji urządzenia sieciowego użytkownika końcowego, a nie tylko samego endpointu.

Z perspektywy użytkowników indywidualnych podstawą pozostaje wymiana przestarzałych routerów, zmiana domyślnych haseł administracyjnych, regularne aktualizacje oraz kontrola, czy ustawienia DNS nie zostały zmodyfikowane bez wiedzy właściciela.

Podsumowanie

Opisana operacja pokazuje, że przejęcie routera SOHO może być równie wartościowe dla napastnika jak kompromitacja stacji roboczej. Zmiana ustawień DNS i wykorzystanie technik adversary-in-the-middle pozwalają na ciche przechwytywanie tokenów sesyjnych, nawet w środowiskach chronionych wieloskładnikowym uwierzytelnianiem. Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości i chmury musi obejmować również zewnętrzne, często niezarządzane urządzenia sieciowe używane przez pracowników zdalnych.

Źródła

• https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
• https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/
• https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
• https://www.lumen.com/blog-and-news/en-us/frostarmada-forest-blizzard-dns-hijacking