ФБР удалённо исправило DNS-настройки взломанных роутеров TP-Link в США

Минюст США и ФБР сообщили о судебно санкционированной операции против сети домашних и офисных роутеров, которую использовала российская группировка APT28, равным образом известная как Fancy Bear и Forest Blizzard.

По версии американских ведомств, операторы GRU с 2024 года массово взламывали SOHO-роутеры, в том числе устройства TP-Link с уязвимостью CVE-2023-50224. После доступа к роутеру они меняли DHCP/DNS-настройки и направляли запросы пользователей на контролируемые серверы. Так можно было перехватывать учётные информация, токены аутентификации, почту и другую чувствительную информацию, особенно если жертва игнорировала предупреждения браузера о сертификате.

ФБР провело операцию против американской части этой инфраструктуры. Ведомство отправило на скомпрометированные роутеры команды, которые удаляли DNS-резолверы GRU, возвращали получение DNS от провайдера и закрывали использованный метод несанкционированного доступа. По заявлению Минюста, операция не затрагивала обычную работу роутеров и не собирала пользовательский контент.

Пользователям SOHO-устройств рекомендовали заменить устаревшие роутеры, апдейтнуть прошивку, проверить DNS-настройки и закрыть удалённое управление из интернета. Для организаций с удалёнными сотрудниками отдельно рекомендовали пересмотреть правила доступа к чувствительным данным, в том числе использование VPN и усиленных настроек приложений.