APT28 Кампания за атака на FrostArmada
Сложна кибершпионска операция, приписвана на свързаната с Русия хакерска група APT28, известна още като Forest Blizzard, е използвала уязвима мрежова инфраструктура за провеждане на мащабно наблюдение. Активна поне от май 2025 г., кампанията с кодово име FrostArmada се фокусира върху компрометирането на несигурни рутери MikroTik и TP-Link, превръщайки ги в злонамерени активи под контрола на атакуващия.
Тази операция е била насочена предимно към домашни и малки офис (SOHO) устройства, използвайки слаби конфигурации за манипулиране на DNS настройките. По този начин нападателите са успели да прихванат и пренасочат мрежовия трафик, което е позволило пасивно и до голяма степен неоткриваемо събиране на данни.
Съдържание
Отвличане на DNS: Превръщане на рутери в инструменти за тихо наблюдение
В основата на кампанията е DNS хайкингът, техника, която позволява на атакуващите да пренасочват легитимен трафик през злонамерена инфраструктура. След като рутерът бъде компрометиран, неговите DNS настройки се променят, за да сочат към контролирани от атакуващия сървъри. Тази манипулация позволява прихващане на чувствителни данни, без да се изисква никаква намеса от страна на потребителя.
Когато потребителите се опитваха да получат достъп до целевите домейни, техните заявки бяха пренасочвани тихомълком към възлите на типа „Атакуващ по средата“ (AitM). Тези възли събираха данни за удостоверяване, включително данни за вход, и ги предаваха обратно на нападателите. Процесът беше силно скрит, което правеше откриването изключително трудно.
Разбивка на веригата от атаки: От експлоатация до кражба на идентификационни данни
Жизненият цикъл на атаката следваше структурирана последователност, предназначена да увеличи максимално събирането на данни, като същевременно минимизира откриването:
- Първоначално компрометиране на SOHO рутери чрез уязвимости или слаби конфигурации
- Неоторизиран администраторски достъп и промяна на DNS настройките
- Пренасочване на DNS заявки към злонамерени, контролирани от актьори резолвери
- Прихващане на потребителски трафик чрез AitM инфраструктура
- Събиране и извличане на идентификационни данни, включително пароли и OAuth токени
Този метод позволи на нападателите да наблюдават опитите за влизане в имейл платформи и уеб услуги, включително случаи, включващи Microsoft Outlook в мрежата и други системи, които не са хоствани от Microsoft.
Глобален обхват и стратегическо таргетиране
Кампанията се разшири значително с течение на времето. Въпреки че започна с ограничен капацитет през май 2025 г., широко разпространените усилия за експлоатация ескалираха до началото на август. В пика си през декември 2025 г. бяха наблюдавани повече от 18 000 уникални IP адреса в поне 120 държави, които комуникираха с контролирана от нападателя инфраструктура.
Основните цели включват:
- Правителствени институции като министерства на външните работи и правоприлагащи органи
- Доставчици на имейл и облачни услуги от трети страни
- Организации в Северна Африка, Централна Америка, Югоизточна Азия и Европа
Повече от 200 организации и приблизително 5000 потребителски устройства бяха засегнати, което демонстрира мащаба и обхвата на операцията.
Използвани уязвимости и тактики за инфраструктура
Нападателите са използвали известни уязвимости, за да получат достъп до мрежови устройства. Забележително е, че рутерите TP-Link WR841N са били експлоатирани с помощта на CVE-2023-50224, уязвимост за заобикаляне на удостоверяването, която е позволявала извличане на идентификационни данни чрез специално създадени HTTP GET заявки.
Освен това беше идентифициран вторичен инфраструктурен клъстер, отговорен за пренасочването на DNS трафик от компрометирани рутери към отдалечени сървъри, контролирани от нападателя. Този клъстер също така провеждаше целенасочени, интерактивни операции срещу избрани рутери на MikroTik, особено в Украйна.
Разширен шпионаж чрез компрометиране на периферни устройства
Тази кампания бележи значителна еволюция в оперативните тактики на APT28. За първи път групата демонстрира способността си да извършва мащабни DNS отвличания, за да улесни AitM атаки срещу TLS (Transport Layer Security) връзки.
Чрез компрометиране на периферни устройства, често по-слабо наблюдавани от корпоративните системи, нападателите са получили видимост върху мрежовия трафик. Това стратегическо позициониране им е позволило да идентифицират високоценни цели и да се фокусират селективно върху лица или организации от разузнавателен интерес.
Операцията се оценява като опортюнистична по своята същност, като първоначално е насочена към широка мрежа и постепенно стеснява целите си въз основа на стойността на прихванатите данни.
Оперативни прекъсвания и текущи рискове
Зловредната инфраструктура, поддържаща FrostArmada, беше премахната чрез координирани усилия, включващи Министерството на правосъдието на САЩ, Федералното бюро за разследване и международни партньори. Въпреки това прекъсване, използваните техники подчертават постоянните рискове, свързани с необезпечени мрежови устройства.
Въпреки че кампанията е фокусирана предимно върху събирането на разузнавателна информация, използването на AitM позициониране представлява по-широки заплахи. Такъв достъп би могъл да даде възможност за допълнителни злонамерени дейности, включително внедряване на зловреден софтуер или атаки тип „отказ от услуга“, което значително увеличава потенциалното въздействие върху целевите организации.
Заключение: Сигнал за събуждане за мрежовата сигурност
Кампанията FrostArmada подчертава критичната важност на защитата на периферните устройства в мрежовите среди. Експлоатацията на рутери и DNS инфраструктура предоставя на нападателите мощно и дискретно средство за наблюдение, често заобикалящо традиционните контроли за сигурност.
Организациите и отделните лица трябва да дадат приоритет на правилната конфигурация, навременното инсталиране на корекции и непрекъснатото наблюдение на мрежовите устройства, за да смекчат рисковете, породени от такива напреднали злонамерени лица.
