APT28 przejmuje routery SOHO i kradnie tokeny Microsoft 365. Nowa kampania oparta na DNS hijacking - Security Bez Tabu

APT28 przejmuje routery SOHO i kradnie tokeny Microsoft 365. Nowa kampania oparta na DNS hijacking

Cybersecurity news

Wprowadzenie do problemu / definicja

Kampania przypisywana rosyjskiej grupie APT28, znanej również jako Fancy Bear lub Forest Blizzard, pokazuje wyraźną zmianę w sposobie prowadzenia operacji cyberwywiadowczych. Zamiast koncentrować się wyłącznie na infekowaniu stacji roboczych, napastnicy wykorzystują podatne routery SOHO jako punkt wejścia do przechwytywania ruchu uwierzytelniającego i uzyskiwania dostępu do usług Microsoft.

W praktyce atak polegał na przejęciu kontroli nad konfiguracją DNS w urządzeniach brzegowych, a następnie na zastosowaniu techniki adversary-in-the-middle. Dzięki temu operatorzy mogli przechwytywać hasła oraz tokeny OAuth używane w sesjach logowania, również w środowiskach chronionych mechanizmami MFA.

W skrócie

  • APT28 wykorzystywał podatne i często niewspierane routery SOHO, głównie wybrane modele MikroTik i TP-Link.
  • Po kompromitacji urządzeń napastnicy zmieniali ustawienia DNS, kierując część ruchu do własnej infrastruktury.
  • Celem było przechwytywanie danych logowania oraz tokenów Microsoft 365 i Outlook on the web.
  • Operacja objęła setki organizacji i tysiące urządzeń, bez potrzeby instalowania klasycznego malware na endpointach.
  • Najgroźniejszym elementem kampanii była kradzież aktywnych tokenów sesyjnych, co może ograniczać skuteczność samego MFA.

Kontekst / historia

APT28 od lat jest łączony z działaniami rosyjskiego wywiadu wojskowego i operacjami wymierzonymi w administrację publiczną, dyplomację, sektor obronny oraz infrastrukturę o znaczeniu strategicznym. Opisana kampania wpisuje się w ten model, ale jednocześnie pokazuje rosnące znaczenie urządzeń sieciowych jako nośnika ataku i elementu operacji wywiadowczych.

Według ujawnionych analiz aktywność miała trwać co najmniej od 2025 roku, a jej intensyfikacja nastąpiła pod koniec 2025 roku. Celem były m.in. ministerstwa spraw zagranicznych, organy ścigania, administracja państwowa oraz podmioty korzystające z usług pocztowych i chmurowych Microsoft. Taki dobór ofiar sugeruje połączenie masowego pozyskiwania dostępu z późniejszą selekcją celów o najwyższej wartości operacyjnej.

Analiza techniczna

Mechanizm działania opierał się na kompromitacji routera i zmianie ustawień DHCP oraz DNS. Po takiej modyfikacji urządzenia końcowe w sieci lokalnej korzystały z serwerów DNS kontrolowanych przez napastników lub podporządkowanych ich infrastrukturze. To dawało możliwość selektywnego przekierowywania wybranych zapytań do podstawionych systemów pośredniczących.

W rezultacie użytkownik próbujący zalogować się do usług Microsoft, w tym do Outlooka w przeglądarce, mógł zostać skierowany przez infrastrukturę przeciwnika do scenariusza adversary-in-the-middle. Atakujący nie musiał instalować złośliwego oprogramowania na komputerze ofiary. Wystarczało przejęcie kontroli nad procesem rozwiązywania nazw i pośredniczenie w ruchu sieciowym.

Szczególnie niebezpieczne było przechwytywanie tokenów OAuth. W odróżnieniu od klasycznego phishingu, gdzie głównym celem jest zdobycie loginu i hasła, tutaj napastnik może uzyskać aktywny artefakt sesyjny. Taki token bywa wystarczający do dostępu do zasobów bez konieczności ponownego przechodzenia pełnego procesu logowania, co znacząco zwiększa skuteczność intruzji.

W opublikowanych materiałach wskazano również konkretny wektor związany z urządzeniami TP-Link, w tym podatność CVE-2023-50224 w modelu WR841N. Scenariusz zakładał pozyskanie danych dostępowych do panelu administracyjnego routera za pomocą spreparowanych żądań HTTP, a następnie zmianę konfiguracji DNS. Część aktywności była również wiązana z kompromitacją wybranych urządzeń MikroTik.

Technicznie istotne jest to, że kampania nie wymagała utrzymywania trwałego malware na routerze. Sama zmiana ustawień sieciowych mogła wystarczyć do osiągnięcia celu. To utrudnia wykrycie incydentu, ponieważ wiele organizacji nadal nie monitoruje integralności konfiguracji routerów ani nie analizuje anomalii DNS na poziomie urządzeń brzegowych.

Konsekwencje / ryzyko

Skutkiem ataku może być przejęcie kont pocztowych i dostępu do usług chmurowych bez klasycznego naruszenia stacji roboczej. Dla organizacji oznacza to ryzyko długotrwałego dostępu do skrzynek e-mail, podszywania się pod użytkowników, eskalacji ataku do spear-phishingu oraz pozyskiwania informacji o charakterze operacyjnym i strategicznym.

Ryzyko jest szczególnie wysokie w środowiskach, które wykorzystują przestarzałe routery SOHO, nie monitorują zmian konfiguracji DNS i DHCP, dopuszczają urządzenia niewspierane przez producenta lub opierają ochronę tożsamości wyłącznie na MFA. Problem dotyczy także organizacji z rozproszonym modelem pracy, małymi biurami terenowymi i słabą widocznością infrastruktury brzegowej.

Kradzież tokenów dodatkowo komplikuje reakcję na incydent. Jeśli organizacja nie prowadzi zaawansowanej analityki sesji, korelacji logów tożsamościowych i detekcji nietypowych wzorców dostępu, działania przeciwnika mogą wyglądać jak legalna aktywność użytkownika. To zwiększa czas ukrycia napastnika w środowisku i utrudnia jednoznaczne ustalenie zakresu naruszenia.

Rekomendacje

Organizacje powinny traktować routery SOHO, urządzenia oddziałowe i sprzęt perymetryczny jako pełnoprawny element powierzchni ataku. Ochrona tożsamości nie może być skuteczna bez kontroli nad warstwą sieciową, zwłaszcza jeśli użytkownicy logują się do usług chmurowych z małych biur lub środowisk zdalnych.

  • zinwentaryzować wszystkie routery SOHO i urządzenia brzegowe używane w organizacji,
  • sprawdzić wersje firmware oraz status wsparcia producenta,
  • zaktualizować oprogramowanie lub wymienić urządzenia wycofane ze wsparcia,
  • wyłączyć zdalną administrację z Internetu, jeśli nie jest niezbędna,
  • zmienić hasła administracyjne i zweryfikować, czy nie doszło do ich ujawnienia,
  • przeanalizować konfigurację DNS i DHCP na routerach oraz hostach końcowych,
  • monitorować logi Entra ID i Microsoft 365 pod kątem nietypowych sesji oraz użycia tokenów,
  • w razie incydentu wymusić ponowne logowanie, unieważnić aktywne sesje i odwołać tokeny,
  • wdrożyć segmentację sieci oraz ograniczyć zaufanie do urządzeń brzegowych,
  • szkolić użytkowników, aby reagowali na ostrzeżenia TLS i błędy certyfikatów.

W środowiskach korzystających z Microsoft 365 warto dodatkowo analizować aktywność Outlook on the web, niestandardowe odświeżenia tokenów oraz sesje pochodzące z nietypowych lokalizacji i adresów IP. W przypadku podejrzenia kompromitacji konieczna jest nie tylko analiza kont użytkowników, ale także pełny przegląd lokalnej infrastruktury sieciowej.

Podsumowanie

Opisana operacja APT28 potwierdza, że ataki na routery SOHO przestały być problemem ograniczonym do środowisk domowych. Dziś są one realnym narzędziem do przejmowania tożsamości, omijania części klasycznych zabezpieczeń i prowadzenia długotrwałych kampanii wywiadowczych przeciwko organizacjom o wysokiej wartości.

Najważniejszy wniosek dla zespołów bezpieczeństwa jest jednoznaczny: skuteczna ochrona kont i sesji wymaga równoległej ochrony urządzeń brzegowych, konfiguracji DNS oraz integralności infrastruktury sieciowej. Bez tego nawet dojrzałe środowisko z MFA i monitoringiem endpointów może pozostać podatne na cichy kompromis.

Źródła

  1. Krebs on Security — https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
  2. Microsoft Security Blog — SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks — https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/
  3. National Cyber Security Centre — APT28 exploit routers to enable DNS hijacking operations — https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations