Ryska hackare stjäl M365-inloggningar via din router — så skyddar du dig

Microsoft bekräftade den 7 april att ryska APT28 (Fancy Bear) kapade DNS-inställningar på över 18 000 SOHO-routrar i 120 länder. Målet: fånga upp Microsoft 365-autentiseringstrafik och stjäla OAuth-tokens.

Kampanjen har fått kodnamnet FrostArmada. Den riktade sig främst mot TP-Link- och MikroTik-routrar med kända sårbarheter. Angriparna ändrade DNS-inställningarna på routrarna så att all trafik till Microsofts inloggningssidor omdirigerades till deras egna servrar. Där plockade de upp tokens och inloggningsuppgifter — helt utan att installera skadlig kod på offrens datorer.

Varför det här är allvarligt för svenska SMF

Det här är inte en vanlig phishing-attack. Token-stöld efter autentisering innebär att MFA redan har passerats. Har du kunder med Conditional Access-policyer som förlitar sig på enhetscompliance eller nätverksplats, men utan Continuous Access Evaluation (CAE), är de exponerade.

FBI har genomfört en domstolsgodkänd operation för att återställa komprometterade routrar, men det betyder inte att alla är åtgärdade.

Vad du bör göra nu

1. Kontrollera CAE-status i alla hanterade tenants. Om Continuous Access Evaluation inte är aktiverat — slå på det. Det begränsar livslängden på stulna tokens.

2. Granska sign-in-loggar i Entra ID efter ovanlig tokenåteranvändning från nya IP-adresser eller platser.

3. Inventera kunders routrar. TP-Link och MikroTik är primära mål. Äldre firmware med kända sårbarheter bör uppdateras eller bytas ut.

4. Aktivera token protection i Conditional Access där det stöds. Det binder tokens till specifika enheter.

Så kan vi hjälpa

Vi erbjuder en Token Security Health Check — en halvdagsgenomgång där vi verifierar CAE, granskar Conditional Access-policyer och kontrollerar sign-in-loggar. Vill du att vi kollar er miljö? Kontakta oss.

Källa: Microsoft Security Blog — SOHO router compromise leads to DNS hijacking