קמפיין התקפת APT28 של FrostArmada
מבצע ריגול סייבר מתוחכם המיוחס לקבוצת האיומים APT28, המקושרת לרוסיה, הידועה גם בשם Forest Blizzard, מינפה תשתית רשת פגיעה כדי לבצע מעקב בקנה מידה גדול. הקמפיין, שכונה FrostArmada, פעיל לפחות מאי 2025, התמקד בפגיעה בנתבים לא מאובטחים של MikroTik ו-TP-Link, והפיכתם לנכסים זדוניים תחת שליטת התוקף.
פעולה זו כוונה בעיקר למכשירים ביתיים ומשרדים קטנים (SOHO), תוך ניצול תצורות חלשות כדי לתמרן הגדרות DNS. על ידי כך, התוקפים הצליחו ליירט ולנתב מחדש תעבורת רשת, מה שאפשר איסוף נתונים פסיבי ובלתי ניתן לגילוי במידה רבה.
תוכן העניינים
חטיפת DNS: הפיכת נתבים לכלי מעקב שקטים
בלב הקמפיין טמונה חטיפת DNS, טכניקה שאפשרה לתוקפים לנתב מחדש תעבורה לגיטימית דרך תשתית זדונית. לאחר שנתב נפרץ, הגדרות ה-DNS שלו שונו כך שיפנו לשרתים הנשלטים על ידי התוקף. מניפולציה זו אפשרה יירוט של נתונים רגישים מבלי לדרוש כל התערבות מצד המשתמש.
כאשר משתמשים ניסו לגשת לדומיינים ממוקדים, בקשותיהם הופנו בשקט לצמתי תוקף-באמצע (AitM). צמתים אלה לכדו נתוני אימות, כולל פרטי כניסה, והעבירו אותם בחזרה לתוקפים. התהליך היה חשאי ביותר, מה שהקשה ביותר על הגילוי.
פירוק שרשרת התקיפה: מניצול לגניבת אישורים
מחזור חיי ההתקפה עקב אחר רצף מובנה שנועד למקסם את איסוף הנתונים תוך מזעור הגילוי:
- פגיעה ראשונית של נתבי SOHO באמצעות פגיעויות או תצורות חלשות
- גישה מנהלית בלתי מורשית ושינוי הגדרות DNS
- ניתוב מחדש של שאילתות DNS לפתרונות זדוניים הנשלטים על ידי שחקנים
- יירוט תנועת משתמשים דרך תשתית AitM
- איסוף וחילוץ של אישורים, כולל סיסמאות ואסימוני OAuth
שיטה זו אפשרה לתוקפים לנטר ניסיונות כניסה לפלטפורמות דוא"ל ושירותי אינטרנט, כולל מקרים הקשורים ל-Microsoft Outlook באינטרנט ולמערכות אחרות שאינן מתארחות על ידי מיקרוסופט.
טווח הגעה גלובלי ומיקוד אסטרטגי
הקמפיין התרחב משמעותית עם הזמן. למרות שהחל במתכונת מוגבלת במאי 2025, מאמצי הניצול הנרחבים התגברו בתחילת אוגוסט. בשיאו בדצמבר 2025, נצפו יותר מ-18,000 כתובות IP ייחודיות בלפחות 120 מדינות מתקשרות עם תשתית הנשלטת על ידי תוקפים.
יעדים עיקריים כללו:
- מוסדות ממשלתיים כגון משרדי חוץ וסוכנויות אכיפת חוק
- ספקי שירותי דוא"ל וענן של צד שלישי
- ארגונים ברחבי צפון אפריקה, מרכז אמריקה, דרום מזרח אסיה ואירופה
יותר מ-200 ארגונים וכ-5,000 מכשירי צריכה הושפעו, דבר המדגים את היקף המבצע והשפעתו.
פגיעויות מנוצלות וטקטיקות תשתית
התוקפים ניצלו פגיעויות ידועות כדי לקבל גישה למכשירי רשת. ראוי לציין כי נתבי TP-Link WR841N נוצלו באמצעות CVE-2023-50224, פגם עוקף אימות שאפשר חילוץ אישורים באמצעות בקשות HTTP GET שנוצרו במיוחד.
בנוסף, זוהה אשכול תשתית משני, האחראי על העברת תעבורת DNS מנתבים פרוצים לשרתים מרוחקים הנשלטים על ידי תוקפים. אשכול זה ביצע גם פעולות אינטראקטיביות ממוקדות כנגד נתבים נבחרים של MikroTik, במיוחד באוקראינה.
ריגול מתקדם באמצעות פריצת מכשיר קצה
קמפיין זה מסמן התפתחות משמעותית בטקטיקות המבצעיות של APT28. לראשונה, הקבוצה הוכיחה את היכולת לבצע חטיפת DNS בקנה מידה גדול כדי להקל על התקפות AitM כנגד חיבורי Transport Layer Security (TLS).
על ידי פגיעה במכשירי קצה, שלעתים קרובות פחות מנוטרים ממערכות ארגוניות, התוקפים השיגו נראות במעלה הזרם לתעבורת הרשת. מיקום אסטרטגי זה אפשר להם לזהות מטרות בעלות ערך גבוה ולהתמקד באופן סלקטיבי באנשים או בארגונים בעלי עניין מודיעיני.
המבצע מוערך כאופורטוניסטי באופיו, כאשר בתחילה הוא משליך רשת רחבה וצמצם בהדרגה את המטרות בהתבסס על ערך הנתונים שנאספו.
שיבושים תפעוליים וסיכונים מתמשכים
התשתית הזדונית התומכת ב-FrostArmada פורקה באמצעות מאמץ מתואם בו השתתפו משרד המשפטים האמריקאי, הלשכה הפדרלית לחקירות ושותפים בינלאומיים. למרות שיבוש זה, הטכניקות המועסקות מדגישות סיכונים מתמשכים הקשורים להתקני רשת לא מאובטחים.
בעוד שהקמפיין התמקד בעיקר באיסוף מודיעין, השימוש במיקום AitM מציג איומים רחבים יותר. גישה כזו עלולה לאפשר פעילויות זדוניות נוספות, כולל פריסת תוכנות זדוניות או התקפות מניעת שירות, מה שמגדיל משמעותית את ההשפעה הפוטנציאלית על ארגונים ממוקדים.
סיכום: קריאת השכמה לאבטחת רשת
קמפיין FrostArmada מדגיש את החשיבות הקריטית של אבטחת התקני קצה בסביבות רשת. ניצול של נתבים ותשתיות DNS מספק לתוקפים אמצעי מעקב חזקים וחשאיים, שלעתים קרובות עוקפים בקרות אבטחה מסורתיות.
ארגונים ואנשים פרטיים כאחד חייבים לתעדף תצורה נכונה, תיקונים בזמן וניטור מתמשך של התקני רשת כדי למתן את הסיכונים שמציבים גורמי איום מתקדמים כאלה.
