Как защитить домашний роутер от DNS-хайджекинга и не поломать все

Представьте обычный вечер: вы открываете ноутбук дома, заходите в почту Outlook, проверяете рабочие сообщения. Всё выглядит привычно. Но за кулисами ваш трафик может уже идти не туда, куда вы думаете. Группа APT28, также известная как Forest Blizzard или Fancy Bear нашла новый, почти невидимый способ проникновения в сети — через самые обычные SOHO-роутеры (Small Office/Home Office). Эти устройства, которые стоят в миллионах квартир и небольших офисов по всему миру, стали для хакеров идеальной «точкой входа».

По данным Microsoft Threat Intelligence, кампания идёт как минимум с августа 2025 года. К апрелю 2026-го под прицел попали более 200 организаций и около 5000 потребительских устройств. Пострадали компании и учреждения из сферы государственного управления, информационных технологий, телекоммуникаций и энергетики — классические цели для государственной киберразведки. При этом сами сервисы Microsoft не были скомпрометированы: атака била не в облако напрямую, а в «край» сети — те самые домашние и офисные роутеры.

Как именно работает атака: от компрометации до перехвата

Всё начинается с классической разведки. APT28 сканирует интернет в поисках уязвимых SOHO-роутеров — устройств с устаревшей прошивкой, стандартными административными паролями или открытыми портами для удалённого управления. Такие роутеры часто стоят в удалённых рабочих местах, где корпоративная безопасность слабее, а обновления устанавливают нерегулярно.

Получив доступ, злоумышленники меняют настройки сети. Через протокол DHCP (Dynamic Host Configuration Protocol), который автоматически раздаёт параметры подключения всем устройствам в локальной сети, роутер начинает «подсовывать» пользователям не настоящие DNS-сервера провайдера, а серверы, полностью контролируемые хакерами.

DNS-запросы — это те самые «телефонные справочники» интернета, которые превращают понятные нам доменные имена (outlook.office.com) в IP-адреса. Теперь все запросы идут через инфраструктуру APT28.

На своей стороне хакеры используют лёгкий и широко распространённый инструмент dnsmasq — утилиту, которая одновременно работает как DNS-резолвер, кэш и даже DHCP-сервер. Она слушает 53-й порт и отвечает на запросы. Большую часть времени это выглядит абсолютно прозрачно: запросы просто перенаправляются дальше к настоящим серверам, а пользователи ничего не замечают. Это пассивный сбор данных на огромном масштабе — идеально для долгосрочной разведки.

Но в отдельных случаях, когда цель особенно интересна, включается активная фаза — adversary-in-the-middle (AiTM). Для конкретных доменов (в первую очередь связанных с веб-версией Outlook) злоумышленники подменяют DNS-ответ и направляют трафик на свой контролируемый сервер. Там браузеру или приложению предъявляется поддельный TLS-сертификат.

Если пользователь проигнорирует предупреждение браузера об «недействительном сертификате», соединение устанавливается, и хакеры получают возможность читать незашифрованный трафик внутри TLS-туннеля — письма, документы, логины. Microsoft отмечает, что такое активное вмешательство применялось избирательно: не ко всем 5000 устройствам, а только к приоритетным целям.

Это первый раз, когда аналитики Microsoft увидели, как Forest Blizzard использует DNS-хайджекинг в таком масштабе именно для поддержки AiTM-атак после компрометации «краевых» устройств. Раньше уже применяли похожие тактики, но не в таком сочетании.

Почему это особенно опасно

SOHO-роутеры — это слабое звено современной гибридной работы. Они стоят вне корпоративного периметра, часто не мониторятся центрами SOC, а их владельцы (сотрудники на удалёнке) редко задумываются об обновлениях прошивки. Один скомпрометированный домашний роутер открывает «заднюю дверь» в корпоративную сеть: трафик сотрудников, работающих из дома, проходит через него. Таким образом обходит даже самые продвинутые системы защиты облака.

APT28 действует методично и терпеливо. Это не громкий ransomware, а тихий, стратегический сбор разведданных. Подобные кампании позволяют годами наблюдать за ключевыми игроками без лишнего шума.

Что делать, чтобы защититься

Хорошая новость: угрозу можно существенно снизить простыми, но дисциплинированными шагами.

1. Обновляйте прошивку роутера сразу, как только производитель выпускает патч. Многие уязвимости закрываются именно обновлениями.
2. Меняйте стандартные пароли администратора на сложные и уникальные. Отключите удалённый доступ к панели управления роутера из интернета (WAN).
3. На корпоративном уровне внедряйте Zero Trust DNS (ZTDNS) — технологию, которая заставляет устройства обращаться только к доверенным DNS-серверам. Полезно также вести детальные логи DNS-трафика и блокировать известные вредоносные домены.
4. Для пользователей и компаний — строгая многофакторная аутентификация (MFA), желательно с passkeys или приложением Microsoft Authenticator, и политики Conditional Access, которые реагируют на подозрительные входы.
5. Не используйте домашние роутеры в корпоративной инфраструктуре без дополнительной изоляции и мониторинга.

Microsoft подчёркивает: даже если само облако защищено, скомпрометированная «последняя миля» — домашняя или офисная сеть — может стать решающей брешью.

Кампания APT28 — очередное напоминание, что в эпоху удалённой работы безопасность начинается не только в дата-центрах, но и в гостиной каждого сотрудника. Обычный роутер за 50 долларов может стать частью глобальной разведывательной машины. И пока мы не начнём относиться к нему серьёзнее, такие истории будут повторяться.

Ранее мы писали о том, что IKEA представила милую новинку: крошечную Bluetooth-колонку, которая стоит всего €5 и выглядит как яркий кубик из детского конструктора · На выставке CES 2026 шведский гигант мебели и товаров для дома удивил всех компактной акустикой под названием Kallsup. Это небольшой куб со сторонами примерно 7 см — почти как Rubik's Cube, только с динамиком.