mobile-menu-icon
Hot & Attacker

Rysk militär underrättelsetjänst kapade routrar i omfattande DNS-kampanj

Blog Reading Time 5 Lästid / april 8, 2026
Russian Military Intelligence Hijacks Routers in Massive DNS Poisoning Campaign

Rysslands militära underrättelsetjänst har varit inne i hem- och kontorsroutrar över hela Europa i två år och stulit inloggningsuppgifter från alla som ansluter till de komprometterade nätverken. Storbritanniens National Cyber Security Centre publicerade en detaljerad varning på måndag som bekräftar att APT28, bedömt med hög säkerhet vara Rysslands GRU 85th Main Special Service Centre, har komprometterat tusentals routrar för att genomföra DNS-kapningar som samlar lösenord och autentiseringstoken.

Omfattningen är betydande. NCSC identifierade två distinkta kluster av skadlig infrastruktur, var och en med flera virtuella privata servrar konfigurerade att fungera som falska DNS-resolvers. Dessa servrar har tagit emot ”höga volymer av DNS-förfrågningar” från komprometterade routrar sedan åtminstone 2024, enligt varningen. FBI bekräftade att kampanjen pågår och varnade att ryska aktörer aktivt utnyttjar TP-Link-routrar med CVE-2023-50224.

Angreppsmetoden är bedrägligt enkel

APT28 utnyttjar kända sårbarheter i små kontors- och hemroutrar för att ändra deras DHCP- och DNS-inställningar. När angriparna väl är inne i en router ändrar de dess DNS-serverkonfiguration så att den pekar på infrastruktur de kontrollerar. Varje enhet som ansluter till det komprometterade nätverket, laptops, smartphones, surfplattor, ärver automatiskt dessa förgiftade DNS-inställningar.

När offren försöker nå legitima webbplatser, särskilt Microsoft Outlook Web Access, omdirigerar de skadliga DNS-servrarna dem till övertygande repliker. Paul Chichester, NCSC Director of Operations, beskrev taktiken som att utnyttja ”exploaterade sårbarheter i allmänt använda nätverksenheter” för sofistikerade fientliga operationer. Angriparna riktar sig specifikt mot autentiseringsflöden för att stjäla både lösenord och OAuth-token som ger varaktig åtkomst till molntjänster.

Microsoft bekräftade att APT28 har genomfört adversary-in-the-middle-angrepp mot Microsoft 365-domäner och observerat aktiviteten rikta sig mot regeringsorganisationer i Afrika som inte var värd på Microsofts infrastruktur. Företagets Threat Intelligence-team noterade att ”Forest Blizzard fångade DNS-förfrågningar och genomförde uppföljande insamling” i dessa fall.

Routertillverkare hänger inte med

NCSC namngav specifikt TP-Link-routrar som komprometterade i denna kampanj, särskilt WR841N-modellen som utnyttjades via CVE-2023-50224. Denna sårbarhet tillåter oautentiserade angripare att extrahera inloggningsuppgifter genom specialutformade HTTP-förfrågningar, en brist som aldrig borde ha nått produktion. MikroTik-enheter förekommer också i loggarna för den komprometterade infrastrukturen, även om de specifika sårbarheterna som användes mot dessa modeller inte avslöjades i varningen.

TechCrunch rapporterade att kampanjen riktade sig mot ”opatchade routrar” med ”tidigare avslöjade sårbarheter”, vilket tyder på att detta inte är sofistikerad zero-day-exploatering utan opportunistiska angrepp mot enheter som konsumenter och småföretag har misslyckats med att uppdatera. Det gör omfattningen av kompromettering ännu mer oroande, tusentals routrar faller för kända, patchbara brister.

Underrättelseoperation bakom det tekniska angreppet

NCSC bedömde att dessa operationer är opportunistiska till sin natur. APT28 kastar ut ett brett nät för att kompromittera så många routrar som möjligt, sedan filtrerar de de skördade inloggningsuppgifterna för att identifiera mål av underrättelsevärde. Detta tillvägagångssätt tillåter Rysslands militära underrättelsetjänst att övervaka en stor pool av potentiella mål innan de fokuserar resurser på de mest värdefulla kontona.

Black Lotus Labs, Lumens forskningsgren, observerade APT28 rikta sig mot ”ett litet antal regeringsorganisationer” i Nordafrika, Centralamerika och Sydostasien genom denna kampanj. Den geografiska spridningen tyder på att detta inte är en riktad operation mot specifika enheter utan en global underrättelseinsamlingsinsats utformad för att identifiera och utnyttja högvärdiga konton när de dyker upp i den skördade datan.

Vad routerägare måste göra denna vecka

Kontrollera din routers DNS-inställningar omedelbart. Om din router är konfigurerad att använda DNS-servrar du inte känner igen, särskilt IP-adresser som inte är din internetleverantörs standardresolvers, anta kompromettering. FBI råder användare att ”uppgradera enheter utan support, uppdatera till senaste firmware-versioner, ändra standardanvändarnamn och lösenord, och inaktivera fjärrhanteringsgränssnitt från internet.”

Alla certifikatvarningar i webbläsare eller e-postapplikationer bör behandlas som potentiella indikatorer på DNS-kapning. NCSC och Microsoft har publicerat tekniska komprometteringsindikatorer som nätverksadministratörer kan använda för att identifiera skadlig DNS-infrastruktur, även om dessa indikatorer endast kommer att fånga de specifika servrar som avslöjats i denna varning.

För organisationer med distansarbetare understryker denna kampanj varför företags-VPN-åtkomst aldrig bör förlita sig på säkerheten i hemnätverk. Om anställda kommer åt företagsresurser genom komprometterade routrar kan deras autentiseringstoken skördas oavsett endpoint-säkerhetskontroller. FBI rekommenderar specifikt att organisationer ”granskar relevanta policyer angående hur anställda kommer åt känslig data” i ljuset av denna kampanj.

Referenser

  1. NCSC Advisory: APT28 exploit routers to enable DNS hijacking operations
  2. FBI Internet Crime Complaint Center: Russian GRU Exploiting Vulnerable Routers
  3. Infosecurity Magazine: Russian APT28 Hackers Hijack Routers to Steal Credentials
  4. BleepingComputer: Authorities disrupt router DNS hijacks used to steal Microsoft 365 logins
  5. TechCrunch: Russian government hackers broke into thousands of home routers
  6. The Register: Russia’s APT28 behind latest wave of router, DNS attacks

This post is also available in: English

Related News

Irans cyberproxies inleder omfattande vedergällning mot västerländska nätverk

Irans offensiva cyberkapacitet har växlat upp efter gemensamma amerikansk-israeliska militära angrepp i slutet av februari 2026. Flera iranska statslänkade grupper och hacktivist-proxies genomför nu koordinerade…

Cyber News Calendar icon mars 10, 2026

SmartLoader-gänget bygger falskt GitHub-ekosystem för att sprida StealC via trojaniserad Oura MCP

En känd cyberbrottsoperation har under månader byggt upp ett omfattande falskt GitHub-ekosystem för att förgifta AI-utvecklingens supply chain. SmartLoader-gänget, först identifierat 2024, klonade en legitim…

Cyber News Calendar icon februari 17, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss