VK: dns-instellingen gehackte TP-Link routers aangepast voor MITM-aanvallen

In dit artikel:

Het Britse National Cyber Security Centre (NCSC) waarschuwt dat aanvallers recentelijk meer dan twintig TP-Link-wifiroutermodellen kapen door bestaande kwetsbaarheden te misbruiken en vervolgens de dns-instellingen te wijzigen. Door die aanpassing dwingen ze internetverkeer via hun eigen dns-servers, waardoor bezoekers van bepaalde websites ongemerkt naar kwaadaardige servers worden omgeleid. Op die servers kunnen man-in-the-middle-aanvallen plaatsvinden om inloggegevens, tokens en andere gevoelige gegevens te onderscheppen; vooral e-maildiensten worden genoemd als aantrekkelijk doelwit.

De NCSC schrijft de operatie toe aan APT28/Fancy Bear, een groep die gelinkt wordt aan de Russische militaire inlichtingendienst GRU. De instantie noemt de campagnes opportunistisch en deelt geen technische details over welke kwetsbaarheden precies worden benut.

Organisaties wordt aangeraden routers beter te beschermen: beheerinterfaces vergrendelen, firmware tijdig updaten en verouderde apparatuur vervangen. Ook benadrukt de NCSC het belang van medewerkers als eerste verdedigingslinie: verdachte handelingen moeten gemeld worden en medewerkers niet gestraft worden voor het klikken op phishinglinks.