Russiske hackere kapret rutere for å stjele Microsoft Office-tilgang

Sikkerhetseksperter advarer om at hackere tilknyttet Russlands militære etterretning har utnyttet kjente svakheter i eldre rutere for å stjele autentiseringsnøkler fra Microsoft Office-brukere. Angrepet har pågått uten bruk av skadelig programvare og har rammet mer enn 18 000 nettverk.

Microsoft opplyser i en bloggpost at over 200 organisasjoner og 5 000 forbrukerenheter har vært involvert i et hemmelig overvåkningsnettverk bygget av den Russland-støttede aktøren «Forest Blizzard». Gruppen er også kjent som APT28 og Fancy Bear, og tilskrives Russlands militære etterretning (GRU).

Aktøren har tidligere vært knyttet til høyprofilerte cyberangrep, blant annet kompromitteringen av Hillary Clintons kampanje og Det demokratiske partiet i USA i 2016. Ifølge forskere ved Black Lotus Labs, en sikkerhetsavdeling under internettleverandøren Lumen, var angrepet på sitt høyeste i desember 2025. Da hadde hackerne kontroll over over 18 000 rutere, hovedsakelig eldre modeller som ikke lenger ble støttet eller hadde manglende sikkerhetsoppdateringer.

En ny rapport fra Lumen viser at hackerne primært rettet seg mot offentlige etater, herunder utenriksdepartementer, politietater og tredjeparts e-postleverandører. Ifølge Black Lotus Security Engineer Ryan English trengte ikke GRU-hackerne installere skadelig programvare på de angrepne rutere, som hovedsakelig var eldre Mikrotik- og TP-Link-modeller beregnet for småkontor- og hjemmekontormarkedet.

I stedet utnyttet de kjente sårbarheter for å endre ruterenes DNS-innstillinger til å peke på DNS-servere kontrollert av angriperne. Som Storbritannias nasjonale cybersikkerhetsmyndighet (NCSC) påpeker i en ny rådgivning, er DNS avgjørende for at brukere kan nå nettsider ved å skrive inn vanlige adresser i stedet for IP-adresser. Ved DNS-kapring griper angripere inn i denne prosessen for å sende brukere til ondsinnede nettsider som stjeler påloggingsinformasjon eller annen sensitiv data.

English forklarer at rutere angrepet av Forest Blizzard ble omkonfigurert til å bruke DNS-servere som pekte på noen få virtuelle private servere kontrollert av angriperne. Viktigst av alt kunne de spre de skadelige DNS-innstillingene til alle brukere på det lokale nettverket og dermed avlytte OAuth-autentiseringsnøkler som ble sendt mellom dem.

Ettersom slike nøkler vanligvis sendes etter at brukeren har logget inn og gjennomført flerfaktorautentisering, kunne angriperne få direkte tilgang til offerenes kontoer uten å måtte phishing-e hver enkelt brukers påloggingsinformasjon eller engangskoder.

«Alle leter etter sofistikert skadelig programvare som kan installeres på mobile enheter eller noe lignende. Disse aktørene brukte ingen malware. De gjorde det på en gammeldags, enkel måte som ikke er spesielt spennende, men som fungerer.»
— Ryan English, Black Lotus Security Engineer