Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Útočná kampaň FrostArmada v APT28

Útočná kampaň FrostArmada v APT28

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware, Phishing
Přeložit do:

Sofistikovaná kybernetická špionážní operace připisovaná ruské skupině APT28, známé také jako Forest Blizzard, využila zranitelnou síťovou infrastrukturu k provádění rozsáhlého dohledu. Kampaň s kódovým označením FrostArmada, aktivní nejméně od května 2025, se zaměřila na napadení nezabezpečených routerů MikroTik a TP-Link a jejich transformaci na škodlivá aktiva pod kontrolou útočníka.

Tato operace se primárně zaměřila na domácí a malé kancelářské (SOHO) zařízení a zneužívala slabé konfigurace k manipulaci s nastavením DNS. Útočníci tak mohli zachycovat a přesměrovávat síťový provoz, což umožňovalo pasivní a do značné míry nezjistitelný sběr dat.

Únos DNS: Proměna routerů v nástroje tichého sledování

Jádrem kampaně je únos DNS, technika, která útočníkům umožňovala přesměrovat legitimní provoz přes škodlivou infrastrukturu. Jakmile byl router napaden, jeho nastavení DNS bylo změněno tak, aby odkazovalo na servery ovládané útočníkem. Tato manipulace umožnila zachycení citlivých dat bez nutnosti interakce s uživatelem.

Když se uživatelé pokusili o přístup k cílovým doménám, jejich požadavky byly tiše přesměrovány na uzly typu Attacker-in-the-Middle (AitM). Tyto uzly zachytávaly ověřovací data, včetně přihlašovacích údajů, a přenášely je zpět útočníkům. Proces byl vysoce skrytý, což extrémně ztěžovalo detekci.

Rozklad řetězce útoků: Od zneužití ke krádeži přihlašovacích údajů

Životní cyklus útoku se řídil strukturovanou sekvencí navrženou tak, aby maximalizoval sběr dat a zároveň minimalizoval detekci:

  • Počáteční kompromitace SOHO routerů zranitelnostmi nebo slabými konfiguracemi
  • Neoprávněný přístup správce a úprava nastavení DNS
  • Přesměrování DNS dotazů na škodlivé resolvery ovládané actory
  • Zachycení uživatelského provozu prostřednictvím infrastruktury AitM
  • Sběr a exfiltrace přihlašovacích údajů, včetně hesel a tokenů OAuth

Tato metoda umožnila útočníkům monitorovat pokusy o přihlášení k e-mailovým platformám a webovým službám, včetně případů zahrnujících Microsoft Outlook na webu a další systémy, které nejsou hostovány u Microsoftu.

Globální dosah a strategické cílení

Kampaň se v průběhu času výrazně rozšířila. Ačkoli v omezené míře začala v květnu 2025, rozsáhlé snahy o zneužití se stupňovaly začátkem srpna. Vrcholem kampaně byl prosinec 2025, kdy bylo pozorováno více než 18 000 unikátních IP adres v nejméně 120 zemích, které komunikovaly s infrastrukturou ovládanou útočníkem.

Primární cíle zahrnovaly:

  • Vládní instituce, jako jsou ministerstva zahraničních věcí a orgány činné v trestním řízení
  • Poskytovatelé e-mailových a cloudových služeb třetích stran
  • Organizace v severní Africe, Střední Americe, jihovýchodní Asii a Evropě

Dotčeno bylo více než 200 organizací a přibližně 5 000 spotřebitelských zařízení, což dokazuje rozsah a dosah operace.

Zneužívané zranitelnosti a taktiky infrastruktury

Útočníci zneužili známé zranitelnosti k získání přístupu k síťovým zařízením. Zejména routery TP-Link WR841N byly zneužity pomocí chyby CVE-2023-50224, která obchází ověřování a umožňuje extrakci přihlašovacích údajů prostřednictvím speciálně vytvořených požadavků HTTP GET.

Dále byl identifikován sekundární infrastrukturní cluster, který byl zodpovědný za předávání DNS provozu z napadených routerů na vzdálené servery ovládané útočníkem. Tento cluster také prováděl cílené interaktivní operace proti vybraným routerům MikroTik, zejména na Ukrajině.

Pokročilá špionáž prostřednictvím kompromitace zařízení na okraji sítě

Tato kampaň představuje významný vývoj v operačních taktikách APT28. Skupina poprvé prokázala schopnost provádět únosy DNS ve velkém měřítku, aby usnadnila útoky AitM proti připojením TLS (Transport Layer Security).

Napadením edge zařízení, která jsou často méně monitorována než podnikové systémy, získali útočníci přehled o síťovém provozu. Toto strategické umístění jim umožnilo identifikovat vysoce hodnotné cíle a selektivně se zaměřit na jednotlivce nebo organizace, které jsou zpravodajsky důležité.

Operace je posuzována jako oportunistická, zpočátku se zaměřuje na širokou škálu cílů a postupně se zužuje na základě hodnoty zachycených dat.

Provozní narušení a přetrvávající rizika

Škodlivá infrastruktura podporující kybernetickou hrozbu FrostArmada byla zničena díky koordinovanému úsilí amerického ministerstva spravedlnosti, Federálního úřadu pro vyšetřování (FBI) a mezinárodních partnerů. Navzdory tomuto narušení použité techniky zdůrazňují přetrvávající rizika spojená s nezabezpečenými síťovými zařízeními.

Ačkoli se kampaň primárně zaměřovala na shromažďování zpravodajských informací, využití pozic AitM představuje širší hrozby. Takový přístup by mohl umožnit další škodlivé aktivity, včetně nasazení malwaru nebo útoků typu denial-of-service, což by výrazně zvýšilo potenciální dopad na cílové organizace.

Závěr: Výzva k probuzení v oblasti síťové bezpečnosti

Kampaň FrostArmada zdůrazňuje zásadní význam zabezpečení edge zařízení v síťových prostředích. Zneužívání routerů a DNS infrastruktury poskytuje útočníkům silný a nenápadný způsob sledování, který často obchází tradiční bezpečnostní kontroly.

Organizace i jednotlivci musí upřednostňovat správnou konfiguraci, včasné aktualizace a nepřetržité monitorování síťových zařízení, aby zmírnili rizika představovaná těmito pokročilými aktéry hrozby.

Trendy

Nejvíce shlédnuto

Načítání...