El Departamento de Justicia anunció el martes que había impedido que la agencia de inteligencia militar de Rusia utilizara enrutadores estadounidenses pirateados para redirigir maliciosamente el tráfico de Internet y robar datos de víctimas que incluyen gobiernos y operadores de infraestructura crítica.
Los agentes del GRU ruso han pasado varios años irrumpiendo en enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) de TP-Link en todo el mundo y reconfigurarlos para enviar solicitudes de DNS a través de servidores controlados por el Kremlin, lo que permitió a Moscú recopilar tráfico de Internet e incluso contraseñas, correos electrónicos y otra información confidencial de las redes de las víctimas. En respuesta, el FBI lanzó la “Operación Mascarada”, enviando comandos a enrutadores pirateados que recolectaban datos forenses y restablecían sus configuraciones DNS para borrar el control de Rusia en los dispositivos.
DOJ anunció la operación horas después Microsoft reveló El abuso por parte de Rusia de los enrutadores SOHO. «Para los actores de los estados-nación como Forest Blizzard», dijo Microsoft, «el secuestro de DNS permite una visibilidad y un reconocimiento persistentes y pasivos a escala».
Microsoft dijo que tenía evidencia de que el grupo de piratería GRU, que los investigadores han denominado APT28, Fancy Bear y Forest Blizzard, había estado irrumpiendo en enrutadores SOHO desde al menos agosto de 2025. Los fiscales federales dijeron que la campaña había estado en curso desde al menos 2024.
En algunos casos, dijeron Microsoft y el gobierno, Rusia utilizó su acceso a las redes de las víctimas para realizar ataques de adversario en el medio (AiTM) en conexiones seguras a la plataforma de correo electrónico Outlook. «Un proceso de filtrado automatizado» ayudó a Rusia a seleccionar solicitudes de DNS potencialmente de alto valor para interceptar, dijeron los fiscales federales.
El secuestro del tráfico DNS para falsificar Outlook y otros servicios en línea ampliamente utilizados «permite la interceptación de contenido alojado en la nube», dijo Microsoft, «lo que afecta a numerosos sectores, incluidos el gobierno, la tecnología de la información (TI), las telecomunicaciones y la energía, todos objetivos habituales de este actor». La compañía dijo que había observado a los piratas informáticos robar datos de «al menos tres organizaciones gubernamentales en África».
El amplio acceso de Rusia a los enrutadores comprometidos podría ayudarlo a ampliar drásticamente sus ataques de adversario en el medio, advirtieron investigadores de Microsoft. «Apuntar a dispositivos SOHO no es una táctica, técnica o procedimiento (TTP) nuevo para los actores de inteligencia militar rusos, pero esta es la primera vez que Microsoft observa a Forest Blizzard utilizando el secuestro de DNS a escala para admitir AiTM de conexiones TLS después de explotar dispositivos de borde».
Los piratas informáticos también podrían utilizar su acceso a los enrutadores para fines distintos a la recopilación de información, dijo Microsoft, incluida la distribución de malware o la realización de ataques de denegación de servicio. La compañía dijo que no había visto esa actividad hasta el momento.
Recomendaciones urgentes para los propietarios de enrutadores.
Las empresas pueden evitar ser víctimas de ataques similares actualizando el firmware de sus enrutadores, verificando su configuración de DNS, cortando dispositivos de administración remota y reemplazando equipos al final de su vida útil.
«Bloquee dominios conocidos o maliciosos para evitar ataques basados en DNS y mantenga registros de DNS detallados para monitorear, investigar y obtener información sobre el tráfico de DNS anómalo», dijo Microsoft.
El Centro Nacional de Seguridad Cibernética del Reino Unido también publicó un aviso sobre la campaña de piratería con recomendaciones. «Si no puede abandonar de inmediato las plataformas y aplicaciones obsoletas», dijo la agencia, «hay medidas a corto plazo que puede tomar para mejorar su posición».
Los propietarios de enrutadores deberían tomarse muy en serio la amenaza del secuestro de DNS, dijo Nick Biasini, jefe de extensión del equipo de inteligencia de amenazas Talos de Cisco.
«Este acceso puede permitirles inyectar o manipular el tráfico de diversas formas», dijo Biasini a Cybersecurity Dive. «Obviamente existen limitaciones con el tráfico cifrado y la fijación de certificados, pero la superficie de ataque aumenta significativamente si el actor puede secuestrar el tráfico DNS del usuario».
Intensificar los esfuerzos de disuasión cibernética
La Operación Mascarada es la última de una años de duración serie de Operaciones del FBI patear piratas informáticos de gobiernos extranjeros fuera de los enrutadores de EE. UU. El FBI ha descrito esas operaciones como parte de su estrategia cada vez más agresiva para combatir la actividad cibernética maliciosa.
«Dada la magnitud de esta amenaza, hacer sonar la alarma no fue suficiente», dijo Brett Leatherman, jefe de la División Cibernética del FBI, en un comunicado sobre la operación del gobierno. «El FBI seguirá utilizando sus autoridades para identificar e imponer costos a los actores patrocinados por el Estado que atacan al pueblo estadounidense».
La interrupción por parte del Departamento de Justicia de la red de enrutadores rusa «tendrá un impacto significativo» en la capacidad del Kremlin para sostener su campaña de piratería, según Danny Adamitis, ingeniero de seguridad de Black Lotus Labs, que ayudó al gobierno con la operación.
Al mismo tiempo, dijo, “el ecosistema DNS es un espacio de oportunidades que siempre tiene el potencial de sufrir abusos”, y dada la posición de Rusia Interés histórico en los ataques de secuestro de enrutadores.«Espero que reconstituyan otra botnet en el futuro».
Nota del editor: esta historia se actualizó con comentarios de expertos.
Fuente