Российские хакеры взломали маршрутизаторы для кражи токенов Microsoft Office

Эксперты по кибербезопасности предупредили о новой кампании российских хакеров, связанных с военной разведкой. Группировка Forest Blizzard (также известная как APT28 и Fancy Bear), предположительно подчиняющаяся ГРУ, использует уязвимости устаревших маршрутизаторов для кражи аутентификационных токенов пользователей Microsoft Office.

По данным компании Microsoft и исследовательской группы Black Lotus Labs (подразделение Lumen Technologies), атака не требовала установки вредоносного ПО. Вместо этого хакеры модифицировали настройки DNS на маршрутизаторах, перенаправляя пользователей на подконтрольные серверы.

В пиковый период в декабре 2025 года в зону поражения попали более 18 000 маршрутизаторов, преимущественно устаревших моделей MikroTik и TP-Link, используемых в малом офисе и дома (SOHO). Большинство устройств не поддерживались производителем или не получали обновлений безопасности.

Согласно отчёту Black Lotus Labs, основными целями стали государственные учреждения, включая министерства иностранных дел, правоохранительные органы и сторонние почтовые провайдеры. Хакеры не ограничивались отдельными пользователями — после взлома маршрутизатора они получали доступ ко всем устройствам в локальной сети.

Как работает атака

Злоумышленники использовали DNS-хищение — метод, при котором подменяются настройки DNS, чтобы перенаправлять пользователей на фальшивые сайты. В данном случае атака была направлена на кражу OAuth-токенов, которые передаются после успешной аутентификации, включая многофакторную.

Поскольку токены не требуют повторного ввода пароля или кода подтверждения, хакеры получали доступ к аккаунтам без необходимости фишинга. Райан Инглиш, инженер по безопасности Black Lotus Labs, отметил:

«Все ищут сложные вредоносные программы, которые проникают на мобильные устройства. Но эти хакеры использовали старый, но действенный метод — и он сработал».

Последствия и меры защиты

Эксперты подчёркивают, что атака не требовала сложных инструментов, что делает её особенно опасной. Устаревшие маршрутизаторы, не получающие обновлений, становятся лёгкой мишенью для кибершпионажа.

Для защиты рекомендуется:

• Обновлять прошивку маршрутизаторов до последней версии;
• Отключать удалённое управление устройством, если оно не используется;
• Использовать надёжные пароли и двухфакторную аутентификацию;
• Регулярно проверять настройки DNS на наличие несанкционированных изменений.

Владельцам устройств MikroTik и TP-Link рекомендуется обратить особое внимание на безопасность, так как именно эти модели чаще всего становятся объектами атак.