U novom izveštaju, stručnjaci za bezbednost upozoravaju da su hakeri povezani sa ruskim vojnim obaveštajnim službama iskoristili poznate sigurnosne propuste u starijim internet ruterima kako bi masovno prikupljali autentifikacione tokene korisnika Microsoft Office. Ova špijunska kampanja omogućila je ruskim hakerima da tiho prikupe podatke sa više od 18.000 mreža, bez potrebe za instaliranjem zloćudnog softvera.
Microsoft je u blog postu objavio da je identifikovao više od 200 organizacija i 5.000 uređaja koji su bili deo ove tajne špijunske mreže, koju je izgradila pretnja poznata kao „Forest Blizzard„.
Forest Blizzard, poznat i kao APT28 ili Fancy Bear, dodeljuje se vojnim obaveštajnim jedinicama u okviru Glavne obaveštajne uprave Rusije (GRU). Ova grupa je poznata po pokušajima ometanja američkih izbora 2016. godine kada je kompromitovala kampanju Hillary Clinton.
Prema istraživačima iz Black Lotus Labs, bezbednosne jedinice provajdera internetskog backbone-a Lumen, u decembru 2025. godine, Forest Blizzard je aktivno prikupljao podatke sa više od 18.000 internet rutera koji su uglavnom bili stari, bez podrške ili sa zastarelim bezbednosnim ažuriranjima. U novom izveštaju saznajemo da su hakeri prvenstveno ciljali vladine agencije, uključujući ministarstva spoljnih poslova, policiju i treće strane koje pružaju e-mail usluge.
Prema rečima bezbednosnog inženjera Ryana Englisha, GRU hakeri nisu morali da instaliraju zloćudni softver na ciljanom ruteru, već su koristili poznate ranjivosti da prepravite DNS podešavanja rutera i usmere ih na DNS servere pod kontrolom napadača.
U novom savetovanju britanskog Nacionalnog centra za kibernetsku sigurnost (NCSC), objašnjeno je da DNS omogućava korisnicima da dođu do veb sajtova koristeći obične adrese umesto povezanih IP adresa. U napadu preusmeravanja DNS-a, zlonamerni akteri ometaju ovaj proces kako bi korisnike tiho usmerili na zlonamerne veb stranice koje su dizajnirane za krađu podataka za prijavu ili drugih osetljivih informacija.
English ističe da su ruteri napadnuti od strane Forest Blizzard-a prekonfigurisani da koriste DNS servere koji su ukazivali na nekoliko virtuelnih privatnih servera pod kontrolom napadača. Na taj način, napadači su mogli da distribuiraju svoja maliciozna DNS podešavanja svim korisnicima na lokalnoj mreži, što im je omogućilo da preuzmu sve OAuth autentifikacione tokene koje su ti korisnici slali.
Ovi tokeni se obično šalju samo nakon što je korisnik uspešno ušao u sistem i prošao kroz višefaktorsku autentifikaciju, što omogućava napadačima direktan pristup nalogima žrtava bez potrebe za phishing napadima za sticanje korisničkih kredencijala.
Microsoft je aktivnosti Forest Blizzard-a opisao kao korišćenje DNS preusmeravanja „da podrži napade posle kompromitacije (AiTM) na Transport Layer Security (TLS) veze protiv Microsoft Outlook-a na vebu.“ Iako ciljanje SOHO uređaja nije nova taktika, ovo je prvi put da Microsoft beleži korišćenje „DNS preusmeravanja u velikim razmerama“ od strane Forest Blizzard-a.
Stručnjaci se pitaju kako će Forest Blizzard reagovati na povećanu pažnju na njihovu špijunsku operaciju, s obzirom da je grupa odmah promenila svoje taktike u odgovoru na sličan izveštaj NCSC-a iz avgusta 2025. godine. U to vreme, Forest Blizzard je koristio maliciozni softver kako bi kontrolisao manji broj kompromitovanih rutera, ali je nakon objavljivanja izveštaja prešlo na masovno prepravljenje DNS podešavanja na hiljadama ranjivih rutera.
TP-Link je među proizvođačima rutera koji su bili podložni potpunoj zabrani u Sjedinjenim Američkim Državama. Međutim, 23. marta Sjedinjene Američke Države su najavile širu politiku, najavivši da više neće sertifikovati potrošačke internet rutere koji se proizvode van Sjedinjenih Američkih Država.
FCC je upozorio da su strano proizvedeni ruteri postali neodrživa pretnja nacionalnoj sigurnosti, naglašavajući da slabo obezbeđeni ruteri predstavljaju „ozbiljnu kibernetičku pretnju koja može odmah i ozbiljno ugroziti kritičnu infrastrukturu SAD-a i direktno naškoditi američkim građanima.“ Stručnjaci su ukazali na to da će malo novih potrošačkih rutera biti dostupno za kupovinu prema ovoj novoj FCC politici (osim možda rutera za satelitski internet Starlink, koji se proizvode u Teksasu). FCC je naglasio da proizvođači rutera mogu zatražiti posebnu „uslovnu odobrenje“ od Ministarstva rata ili Ministarstva unutrašnje sigurnosti, a nova politika se ne odnosi na prethodno kupljene potrošačke rutere.
