مرکز ملی امنیت سایبری بریتانیا خبر داده که هکرهای روسی در روشی خلاقانه به هک روترهای شرکت TP-Link و MikroTik میپردازند تا با تغییر DNS مودمها، به حسابهای Microsoft Outlook کاربران دست یافته و اطلاعات آنها را سرقت کنند.
مرکز NCSC در گزارشی جدید نسبت به یک کمپین گسترده هک هشدار داده است. این حمله توسط گروه هکری APT28 انجام میشود و هدف آن سرقت اطلاعات حسابهای Microsoft Outlook است.
بر اساس این گزارش، هکرها از سال 2024 تاکنون روترهای خانگی و اداری را هدف قرار دادهاند و با سوءاستفاده از آسیبپذیریها، تنظیمات DNS و DHCP آنها را تغییر میدهند تا ترافیک اینترنت کاربران را به سرورهای تحت کنترل خود هدایت کنند.
مهاجمان ابتدا سرورهای VPS را بهعنوان یک سرور DNS مخرب راهاندازی میکنند. سپس با نفوذ به روترها، تنظیمات DNS را تغییر داده و تمام دستگاههای متصل به شبکه را وادار میکنند درخواستهای اینترنتی خود را از طریق این سرورها ارسال کنند.
در ادامه، زمانی که کاربر به سرویسهایی مانند صفحات ورود Outlook مراجعه میکند، درخواستها به آدرسهای جعلی هدایت میشوند. در همین حال، سایر درخواستها بهصورت عادی پاسخ داده میشوند تا کاربر متوجه اختلال نشود.
کدام سرویسها هدف حمله قرار گرفتهاند؟
هکرها پس از هدایت ترافیک، اطلاعات حساس کاربران از جمله رمزهای عبور را از طریق مرورگر یا نرمافزارهای دسکتاپ استخراج میکند. دامنههای هدف شامل موارد زیر هستند:
- outlook.live.com
- outlook.office.com
- outlook.office365.com
- imap-mail.outlook.com
- autodiscover-s.outlook.com
در این حمله، روترهای شرکت TP-Link و MikroTik بهطور گسترده هدف قرار گرفتهاند. TP-Link WR841N یکی از روترهایی است که احتمالاً از طریق آسیبپذیری CVE-2023-50224 مورد سوءاستفاده قرار میگیرد.
این نقص امنیتی به هکر اجازه میدهد بدون نیاز به احراز هویت، اطلاعات حساس را از طریق یک درخواست HTTP استخراج کند. سپس با یک درخواست دیگر، تنظیمات DNS تغییر داده میشود تا سرور مخرب بهعنوان DNS اصلی ثبت شود.
علاوه بر این مدل، بیش از 20 مدل دیگر از روترهای TP-Link و همچنین برخی دستگاههای MikroTik بهویژه در مناطق حساسی مانند اوکراین در این حملات شناسایی شدهاند. مرکز NCSC برای کاهش ریسک این حملات چند توصیه کلیدی مطرح کرده است:
- بهروزرسانی مداوم فریمور روتر
- عدم دسترسی مستقیم رابط مدیریتی روتر از اینترنت
- فعالسازی احراز هویت چندمرحلهای (MFA) برای حسابهای کاربری
حملات جدید گروه APT28 نشان میدهد که روترهای خانگی و اداری همچنان یکی از نقاط ضعف جدی در امنیت سایبری هستند. تغییر ساده در تنظیمات DNS میتواند بدون اطلاع کاربر، مسیر ترافیک را منحرف کرده و اطلاعات حساس را در اختیار مهاجمان قرار دهد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت