Echipa responsabilă de informații privind amenințările cibernetice a Microsoft a publicat un articol pe blog care dezvăluie operațiunile grupului Forest Blizzard, ce are legături militare cu Rusia. Articolul, publicat în paralel cu o acțiune de neutralizare a FBI, descrie modul în care grupul a transformat routere nesigure din mediul domestic și din birourile mici (SOHO) în platforme de supraveghere la nivel de stat.
Cel puțin din august 2025, Forest Blizzard exploatează dispozitive de internet SOHO vulnerabile pentru a deturna traficul DNS, permițând colectarea pasivă a datelor de rețea, în timp ce ascunde operațiunile ulterioare în spatele unei infrastructuri legitime. Această abordare permite actorului să obțină vizibilitate în medii mai mari și mai bine protejate, fără a încălca direct rețelele corporative.
- Deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când Microsoft observă deturnarea DNS utilizată la scară largă pentru a susține direct atacurile de tip adversar-în-mijloc (AiTM) împotriva conexiunilor TLS.
- Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard.
- Deși nu s-a observat nicio compromitere a activelor deținute de Microsoft, cercetătorii consideră că operațiunea reprezintă o escaladare semnificativă a modului în care actorii statali transformă dispozitivele periferice neadministrate în arme și ar putea permite interceptarea activă la scară mai largă în viitor.
COMMENTS