کمپین حمله APT28 FrostArada

یک عملیات جاسوسی سایبری پیچیده که به گروه تهدید مرتبط با روسیه APT28، که با نام Forest Blizzard نیز شناخته می‌شود، نسبت داده می‌شود، از زیرساخت‌های آسیب‌پذیر شبکه برای انجام نظارت در مقیاس بزرگ استفاده کرده است. این کمپین که حداقل از ماه مه 2025 فعال بوده و با نام رمز FrostArmada شناخته می‌شود، بر به خطر انداختن روترهای ناامن MikroTik و TP-Link و تبدیل آنها به دارایی‌های مخرب تحت کنترل مهاجم تمرکز داشته است.

این عملیات در درجه اول دستگاه‌های خانگی و اداری کوچک (SOHO) را هدف قرار داد و با سوءاستفاده از پیکربندی‌های ضعیف، تنظیمات DNS را دستکاری کرد. با انجام این کار، مهاجمان توانستند ترافیک شبکه را رهگیری و تغییر مسیر دهند و جمع‌آوری داده‌های غیرفعال و تا حد زیادی غیرقابل کشف را امکان‌پذیر کنند.

ربودن DNS: تبدیل روترها به ابزارهای نظارتی خاموش

در هسته این کمپین، ربودن DNS قرار دارد، تکنیکی که به مهاجمان اجازه می‌دهد ترافیک قانونی را از طریق زیرساخت‌های مخرب تغییر مسیر دهند. پس از به خطر افتادن یک روتر، تنظیمات DNS آن تغییر داده می‌شود تا به سرورهای تحت کنترل مهاجم اشاره کند. این دستکاری امکان رهگیری داده‌های حساس را بدون نیاز به هیچ گونه تعامل با کاربر فراهم می‌کند.

وقتی کاربران سعی می‌کردند به دامنه‌های هدف دسترسی پیدا کنند، درخواست‌های آنها بی‌سروصدا به گره‌های Attacker-in-the-Middle (AitM) هدایت می‌شد. این گره‌ها داده‌های احراز هویت، از جمله اطلاعات ورود به سیستم، را ضبط کرده و به مهاجمان ارسال می‌کردند. این فرآیند بسیار مخفیانه بود و تشخیص آن را بسیار دشوار می‌کرد.

تجزیه و تحلیل زنجیره حمله: از سوءاستفاده تا سرقت اعتبارنامه

چرخه حیات حمله از یک توالی ساختاریافته پیروی می‌کرد که برای به حداکثر رساندن جمع‌آوری داده‌ها و در عین حال به حداقل رساندن تشخیص طراحی شده بود:

• نفوذ اولیه به روترهای SOHO از طریق آسیب‌پذیری‌ها یا پیکربندی‌های ضعیف
• دسترسی مدیریتی غیرمجاز و تغییر تنظیمات DNS
• تغییر مسیر کوئری‌های DNS به سمت resolverهای مخرب و تحت کنترل عاملان مخرب
• رهگیری ترافیک کاربر از طریق زیرساخت AitM
• جمع‌آوری و استخراج اطلاعات احراز هویت، شامل رمزهای عبور و توکن‌های OAuth

این روش به مهاجمان امکان می‌داد تا تلاش‌های ورود به پلتفرم‌های ایمیل و سرویس‌های وب، از جمله مواردی که شامل مایکروسافت اوت‌لوک در وب و سایر سیستم‌های غیر مایکروسافتی می‌شد را رصد کنند.

دسترسی جهانی و هدف‌گیری استراتژیک

این کمپین به مرور زمان به طور قابل توجهی گسترش یافت. در حالی که در ماه مه 2025 با ظرفیت محدود آغاز شد، تلاش‌های گسترده برای بهره‌برداری از آن تا اوایل ماه اوت افزایش یافت. در اوج خود در دسامبر 2025، بیش از 18000 آدرس IP منحصر به فرد در حداقل 120 کشور در حال ارتباط با زیرساخت‌های تحت کنترل مهاجم مشاهده شد.

اهداف اولیه شامل:

• نهادهای دولتی مانند وزارت امور خارجه و سازمان‌های اجرای قانون
• ارائه دهندگان خدمات ایمیل و ابری شخص ثالث
• سازمان‌هایی در سراسر شمال آفریقا، آمریکای مرکزی، جنوب شرقی آسیا و اروپا

بیش از ۲۰۰ سازمان و تقریباً ۵۰۰۰ دستگاه مصرفی تحت تأثیر قرار گرفتند که نشان‌دهنده‌ی مقیاس و دامنه‌ی عملیات است.

آسیب‌پذیری‌های مورد سوءاستفاده و تاکتیک‌های زیرساختی

مهاجمان از آسیب‌پذیری‌های شناخته‌شده برای دسترسی به دستگاه‌های شبکه استفاده کردند. نکته قابل توجه این است که روترهای TP-Link WR841N با استفاده از CVE-2023-50224، یک نقص دور زدن احراز هویت که امکان استخراج اعتبارنامه را از طریق درخواست‌های HTTP GET دستکاری‌شده خاص فراهم می‌کرد، مورد سوءاستفاده قرار گرفتند.

علاوه بر این، یک خوشه زیرساخت ثانویه شناسایی شد که مسئول انتقال ترافیک DNS از روترهای آسیب‌دیده به سرورهای تحت کنترل مهاجم از راه دور بود. این خوشه همچنین عملیات هدفمند و تعاملی را علیه روترهای منتخب MikroTik، به ویژه در اوکراین، انجام داد.

جاسوسی پیشرفته از طریق نفوذ به دستگاه‌های Edge

این کمپین نشان‌دهنده‌ی تکامل قابل توجهی در تاکتیک‌های عملیاتی APT28 است. برای اولین بار، این گروه توانایی انجام ربودن DNS را در مقیاس بزرگ برای تسهیل حملات AitM علیه اتصالات امنیت لایه انتقال (TLS) نشان داده است.

با نفوذ به دستگاه‌های لبه‌ای، که اغلب کمتر از سیستم‌های سازمانی تحت نظارت هستند، مهاجمان به ترافیک شبکه دسترسی پیدا می‌کردند. این موقعیت استراتژیک به آنها اجازه می‌داد تا اهداف با ارزش بالا را شناسایی کرده و به صورت انتخابی روی افراد یا سازمان‌های مورد نظر اطلاعاتی تمرکز کنند.

این عملیات ماهیتاً فرصت‌طلبانه ارزیابی می‌شود، در ابتدا یک شبکه گسترده را ایجاد می‌کند و به تدریج اهداف را بر اساس ارزش داده‌های رهگیری شده محدود می‌کند.

اختلال عملیاتی و خطرات مداوم

زیرساخت مخربی که از FrostArmada پشتیبانی می‌کرد، از طریق یک تلاش هماهنگ با مشارکت وزارت دادگستری ایالات متحده، اداره تحقیقات فدرال و شرکای بین‌المللی، از بین رفته است. علیرغم این اختلال، تکنیک‌های به کار رفته، خطرات مداوم مرتبط با دستگاه‌های شبکه ناامن را برجسته می‌کنند.

در حالی که این کمپین در درجه اول بر جمع‌آوری اطلاعات متمرکز بوده است، استفاده از موقعیت‌یابی AitM تهدیدات گسترده‌تری را ایجاد می‌کند. چنین دسترسی می‌تواند فعالیت‌های مخرب بیشتری، از جمله استقرار بدافزار یا حملات انکار سرویس را فعال کند و تأثیر بالقوه بر سازمان‌های هدف را به میزان قابل توجهی افزایش دهد.

نتیجه‌گیری: زنگ خطری برای امنیت شبکه

کمپین FrostArmada اهمیت حیاتی ایمن‌سازی دستگاه‌های لبه‌ای در محیط‌های شبکه را برجسته می‌کند. سوءاستفاده از روترها و زیرساخت DNS، ابزاری قدرتمند و مخفیانه برای نظارت در اختیار مهاجمان قرار می‌دهد که اغلب از کنترل‌های امنیتی سنتی عبور می‌کند.

سازمان‌ها و افراد باید پیکربندی مناسب، به‌روزرسانی‌های به‌موقع و نظارت مداوم بر دستگاه‌های شبکه را در اولویت قرار دهند تا خطرات ناشی از چنین مهاجمان پیشرفته‌ای را کاهش دهند.