Az orosz GRU-hoz köthető Fancy Bear csoport globális kampányt indított elavult SOHO routerek ellen, DNS-eltérítéssel szerezve meg kritikus hozzáférési tokeneket és jelszavakat.
A hálózati peremvédelem leggyengébb láncszemei ismét a reflektorfénybe kerültek. Brit (NCSC), amerikai (FBI, NSA) és német (BfV, BND) kiberbiztonsági hatóságok összehangolt jelentései alapján az orosz állami hátterű APT 28 (ismert nevén Fancy Bear) egy kiterjedt, több éve tartó művelet keretében kompromittált több tízezer otthoni és kisvállalati routert. A támadássorozat elsődleges célpontjai a TP-Link és kisebb részben a MikroTik eszközei, különösen azok a modellek, amelyek már elérték az életciklusuk végét (End-of-Life, EoL).
A támadási vektor: DNS-hijacking és token-lopás
A támadók nem csupán egyszerű botnetet építenek; a módszertanuk jóval kifinomultabb és célzottabb. A folyamat a routerek ismert sérülékenységeinek (például a CVE-2023-50224 és hasonló, távoli kódfuttatást lehetővé tevő hibák) kihasználásával kezdődik. Miután a támadók adminisztratív hozzáférést szereznek az eszközhöz, módosítják a DNS-beállításokat.
Ez a DNS-hijacking lehetővé teszi, hogy a felhasználó internetes forgalmát a támadók által kontrollált infrastruktúrán keresztül irányítsák át. Amikor a gyanútlan áldozat egy legitim szolgáltatás (például webes levelező vagy vállalati VPN) oldalára próbál navigálni, a router egy hamisított IP-címre irányítja a kérést. Itt egy vizuálisan azonos, de rosszindulatú klón oldal fogadja, amely képes a hitelesítési adatok és – ami kritikusabb – a munkamenet-tokenek (session tokens) ellopására. Ez utóbbi lehetővé teszi a kétfaktoros hitelesítés (2FA) megkerülését is, mivel a támadó a már érvényes tokennel lép be a rendszerbe.
Mérnöki adatok és statisztikák
A Black Lotus Labs és a Microsoft elemzései rávilágítanak a kampány globális kiterjedtségére. Az alábbi táblázat összefoglalja a jelenleg ismert adatokat:
| Szervezet | Érintett eszközök / Szervezetek | Földrajzi kiterjedtség | Főbb célpontok |
|---|---|---|---|
| Black Lotus Labs | 18 000+ áldozat | 120 ország | Kormányzat, rendvédelem, ISP-k |
| Microsoft | 5 000+ fogyasztói eszköz | Globális (főleg Afrika, Ázsia) | Kormányzati szervek, KRITIS |
| BfV (Németország) | 30+ igazolt németországi eset | Németország | IT cégek, gasztronómia, magánszemélyek |
| NCSC (UK) | Ismeretlen, de jelentős | Egyesült Királyság és szövetségesek | Katonai és diplomáciai adatok |
Miért a TP-Link a fő célpont?
A TP-Link a világ egyik legnagyobb routergyártója, és eszközei hatalmas számban vannak jelen a SOHO (Small Office/Home Office) szegmensben. A probléma gyökere a firmware-frissítési hajlandóság hiánya és a hardveres életciklus kezelése. A támadók kifejezetten 23 olyan TP-Link modellt azonosítottak, amelyek már nem kapnak biztonsági frissítéseket.
“A támadás opportunista módon kezdődik: széles hálót vetnek ki, majd a begyűjtött adatok alapján szűkítik a kört a hírszerzési szempontból releváns célpontokra.” – áll az NCSC jelentésében.
Technikai védekezés és detekció
Rendszergazdai szempontból a fertőzés detektálása nehézkes, mivel a router webes felülete gyakran érintetlennek tűnik. A hálózati forgalom elemzése (például a DNS-lekérések célállomásának ellenőrzése) azonban árulkodó lehet.
Egy egyszerű ellenőrző lista a hálózatbiztonsági szakembereknek:
1. DNS integritás: Ellenőrizze, hogy a router nem kényszerít-e ismeretlen DNS szervereket (pl. 8.8.8.8 helyett gyanús IP-k).
2. Firmware audit: Minden olyan eszközt, amely nem támogatja a legújabb WPA3 protokollt vagy több mint 2 éve nem kapott frissítést, potenciálisan kompromittáltnak kell tekinteni.
3. Egress filtering: A tűzfalon korlátozni kell a kimenő DNS forgalmat (UDP 53) csak a jóváhagyott belső vagy külső DNS szerverekre.
# Példa: DNS beállítások ellenőrzése MikroTik eszközön CLI-n keresztül
/ip dns print
# Ha a 'dynamic-servers' vagy 'servers' mezőben ismeretlen IP szerepel, az gyanúra ad okot.
# Firmware verzió ellenőrzése
/system package update print
Mérnöki konklúzió: A hardvercsere nem opció, hanem kényszer
A jelenlegi incidens rávilágít arra a tarthatatlan állapotra, hogy a kritikus hálózati infrastruktúra peremén elavult, nem támogatott szoftverrel futó céleszközök üzemelnek. Mivel a gyártók az EoL modellekhez nem fognak javítást kiadni, a szoftveres védekezés (hardening) ezeken az eszközökön gyakorlatilag lehetetlen.
Az ipari és hobbi környezetben egyaránt az egyetlen szakmailag védhető megoldás az érintett hardverek azonnali cseréje modern, aktívan támogatott eszközökre (például olyanokra, amelyek támogatják az automatikus firmware-frissítést). Az amerikai FCC legutóbbi tiltása a külföldi gyártmányú routerekre vonatkozóan – bár politikai töltetű – technikai szempontból a hasonló ellátási lánc és életciklus-kockázatok minimalizálását célozza. Aki ma elavult TP-Link routert üzemeltet, az nem csupán a saját adatait, hanem a teljes felette álló hálózati bizalmi láncot veszélyezteti.
