DNS
APT28 hackt routers: NCSC waarschuwt voor data-diefstal
Door Steven | TrustYourWebsite2 min leestijd
Bron: NCSC-UK news
Het Britse National Cyber Security Centre (NCSC) heeft een advies gepubliceerd met de waarschuwing dat een aan de Russische staat gelinkte hackersgroep kwetsbare routers misbruikt om internetverkeer te onderscheppen en inloggegevens te stelen.
Wat is er gebeurd?
Volgens het NCSC richt de groep bekend als APT28 (geïdentificeerd als Russische GRU-eenheid 26165) zich op routers om de DHCP- en DNS-instellingen te overschrijven. Zodra die instellingen zijn gewijzigd, stuurt de router internetverkeer via servers die door de aanvallers worden beheerd in plaats van via uw legitieme internetprovider.
Deze techniek wordt een adversary-in-the-middle-aanval genoemd. Hiermee kunnen de aanvallers zich stilletjes positioneren tussen u en de websites die u bezoekt, en wachtwoorden, OAuth-tokens (het type dat wordt gebruikt wanneer u inlogt via Google of een ander account) en andere inloggegevens voor web- en e-maildiensten onderscheppen.
Volgens het NCSC-advies lijkt de activiteit opportunistisch van aard. De aanvallers gooien een breed net uit en filteren vervolgens naar doelwitten die zij als inlichtingenwaarde beschouwen.
Wat zegt het NCSC?
Het NCSC heeft samen met het advies indicatoren van compromittering gepubliceerd, zodat technische teams iets concreets hebben om tegen te controleren. Het advies bevat ook mitigaties: praktische stappen die organisaties kunnen nemen om hun blootstelling te verminderen.
De risico's die het NCSC benoemt zijn diefstal van inloggegevens, manipulatie van gegevens en bredere compromittering van systemen. Met andere woorden: als een aanvaller uw verkeer stilletjes kan omleiden, kunnen zij inloggegevens verzamelen zonder dat u dit ooit merkt.
Het advies verwijst naar verschillende technieken uit het MITRE ATT&CK-raamwerk, waaronder T1557 (adversary-in-the-middle), T1583.002, T1583.003, T1584.008, T1588.006 en T1586.
Wat betekent dit voor uw website?
Als uw bedrijf gebruikmaakt van een router die niet is bijgewerkt of beveiligd, kan deze kwetsbaar zijn voor dit soort aanvallen. Dit betekent dat inloggegevens van klanten of uw eigen beheerdersgegevens kunnen worden onderschept zonder enig zichtbaar teken van een probleem. Controleren of de firmware van uw router up-to-date is en of de standaardinstellingen zijn gewijzigd, is een eenvoudige stap die u nu kunt zetten. Praktische begeleiding voor het beveiligen van uw bedrijf vindt u in onze beveiligingschecklist voor kleine ondernemingen.
Check je website nu
Gratis websitescan voor AVG, auteursrecht, toegankelijkheid, beveiliging en meer.
Gratis scan startenGerelateerde artikelen
DNS
DNSSEC problemen bij SSL-certificaten: oplossen en voorkomen
Als uw website gebruikmaakt van DNSSEC, kan een recente wijziging in de manier waarop SSL-certificaten worden gevalideerd ertoe leiden dat de vernieuwing van uw certificaat stilletjes mislukt. Bezoeke
2 min leestijd
DNS
Factuur niet ontvangen? SPF en DMARC fouten voorkomen
Een Nederlandse netbeheerder kon naar verluidt een factuur niet afleveren bij een klant, omdat het e-mailsysteem niet correct was ingesteld om uitgaande berichten te authenticeren. Volgens het blog Iu
2 min leestijd