Microsoft alarmuje o nowej, szeroko zakrojonej kampanii cybernetycznej prowadzonej przez grupę Forest Blizzard, powiązaną z rosyjskim wywiadem. Atakujący od sierpnia 2025 r. masowo przejmują kontrolę nad podatnymi routerami domowymi i małobiurowymi (SOHO), wykorzystując je do monitorowania i analizy ruchu sieciowego na dużą skalę.
Według danych Microsoftu, kampania dotknęła już ponad 200 organizacji oraz około 5 tys. urządzeń konsumenckich. Przejęte routery stają się elementem infrastruktury atakującego – służą do pasywnego podglądu ruchu, ale w wybranych przypadkach umożliwiają także aktywne przechwytywanie danych.
Forest Blizzard wykorzystuje m.in. DNS hijacking oraz techniki adversary‑in‑the‑middle (AiTM), co pozwala na przechwytywanie komunikacji, w tym w usługach chmurowych. W sytuacjach, gdy użytkownicy ignorują ostrzeżenia TLS (Transport Layer Security) , możliwe jest pozyskanie wrażliwych danych, takich jak treści e-maili.
Kampania obejmuje sektory rządowy, IT, telekomunikacyjny i energetyczny, a szczególnie narażone są niezarządzane urządzenia sieciowe wykorzystywane przez pracowników zdalnych i hybrydowych.
Microsoft podkreśla, że działania Forest Blizzard pokazują rosnące znaczenie ochrony infrastruktury brzegowej – w tym domowych routerów pracowników – oraz konieczność uwzględniania jej w strategiach bezpieczeństwa organizacji. Kluczowe elementy to m.in. kontrola ruchu DNS, centralne zarządzanie tożsamością oraz wdrażanie podejścia Zero Trust.
