APT28 फ्रॉस्टआर्माडा हमला अभियान

रूस से जुड़े साइबर खतरे समूह APT28, जिसे फॉरेस्ट ब्लिज़ार्ड के नाम से भी जाना जाता है, द्वारा किए गए एक परिष्कृत साइबर जासूसी अभियान ने कमजोर नेटवर्क बुनियादी ढांचे का फायदा उठाकर बड़े पैमाने पर निगरानी की है। कम से कम मई 2025 से सक्रिय इस अभियान, जिसका कोडनेम फ्रॉस्टआर्माडा है, का उद्देश्य असुरक्षित माइक्रोटिक और टीपी-लिंक राउटरों को हैक करना और उन्हें हमलावरों के नियंत्रण में दुर्भावनापूर्ण संपत्तियों में बदलना था।

इस ऑपरेशन में मुख्य रूप से घरों और छोटे कार्यालयों (SOHO) के उपकरणों को निशाना बनाया गया, और DNS सेटिंग्स में हेरफेर करने के लिए कमजोर कॉन्फ़िगरेशन का फायदा उठाया गया। ऐसा करके, हमलावर नेटवर्क ट्रैफ़िक को इंटरसेप्ट और रीडायरेक्ट करने में सक्षम हुए, जिससे वे निष्क्रिय और लगभग पता न चलने योग्य डेटा संग्रह कर सके।

DNS हाइजैकिंग: राउटर को मूक निगरानी उपकरणों में बदलना

इस अभियान का मूल आधार DNS हाइजैकिंग है, एक ऐसी तकनीक जिसकी मदद से हमलावर वैध ट्रैफ़िक को दुर्भावनापूर्ण सिस्टम के ज़रिए मोड़ सकते थे। एक बार राउटर के हैक हो जाने पर, उसकी DNS सेटिंग्स को बदलकर हमलावरों द्वारा नियंत्रित सर्वरों की ओर निर्देशित कर दिया जाता था। इस हेरफेर से उपयोगकर्ता के किसी भी हस्तक्षेप के बिना संवेदनशील डेटा को इंटरसेप्ट करना संभव हो जाता था।

जब उपयोगकर्ताओं ने लक्षित डोमेन तक पहुँचने का प्रयास किया, तो उनके अनुरोधों को चुपचाप अटैकर-इन-द-मिडल (AitM) नोड्स पर भेज दिया गया। इन नोड्स ने लॉगिन क्रेडेंशियल सहित प्रमाणीकरण डेटा को कैप्चर किया और उसे हमलावरों को वापस भेज दिया। यह प्रक्रिया अत्यंत गुप्त थी, जिससे इसका पता लगाना बेहद मुश्किल हो गया।

हमले की श्रृंखला का विश्लेषण: शोषण से लेकर क्रेडेंशियल चोरी तक

हमले का चक्र एक संरचित अनुक्रम का अनुसरण करता था जिसे डेटा संग्रह को अधिकतम करते हुए पता लगने की संभावना को कम करने के लिए डिज़ाइन किया गया था:

• कमजोरियों या असुरक्षित कॉन्फ़िगरेशन के माध्यम से SOHO राउटरों का प्रारंभिक उल्लंघन
• अनाधिकृत प्रशासनिक पहुंच और DNS सेटिंग्स में संशोधन
• DNS प्रश्नों को दुर्भावनापूर्ण, हमलावर-नियंत्रित रिजॉल्वर की ओर पुनर्निर्देशित करना
• AitM इन्फ्रास्ट्रक्चर के माध्यम से उपयोगकर्ता ट्रैफ़िक का अवरोधन
• पासवर्ड और OAuth टोकन सहित क्रेडेंशियल्स का संग्रहण और चोरी।

इस विधि ने हमलावरों को ईमेल प्लेटफॉर्म और वेब सेवाओं पर लॉगिन प्रयासों की निगरानी करने में सक्षम बनाया, जिसमें वेब पर माइक्रोसॉफ्ट आउटलुक और अन्य गैर-माइक्रोसॉफ्ट-होस्टेड सिस्टम से जुड़े मामले शामिल हैं।

वैश्विक पहुंच और रणनीतिक लक्ष्यीकरण

समय के साथ यह अभियान काफी व्यापक हो गया। मई 2025 में सीमित स्तर पर शुरू होने के बावजूद, अगस्त की शुरुआत तक इसके व्यापक शोषण के प्रयास तेज हो गए। दिसंबर 2025 में अपने चरम पर, कम से कम 120 देशों में 18,000 से अधिक अद्वितीय आईपी पते हमलावरों द्वारा नियंत्रित बुनियादी ढांचे के साथ संचार करते हुए देखे गए।

प्राथमिक लक्ष्यों में निम्नलिखित शामिल थे:

• विदेश मामलों के मंत्रालय और कानून प्रवर्तन एजेंसियों जैसे सरकारी संस्थान
• तृतीय-पक्ष ईमेल और क्लाउड सेवा प्रदाता
• उत्तरी अफ्रीका, मध्य अमेरिका, दक्षिणपूर्व एशिया और यूरोप भर के संगठन

इस अभियान से 200 से अधिक संगठन और लगभग 5,000 उपभोक्ता उपकरण प्रभावित हुए, जो इसके पैमाने और पहुंच को दर्शाता है।

शोषण की गई कमजोरियाँ और अवसंरचना संबंधी रणनीतियाँ

हमलावरों ने नेटवर्क उपकरणों तक पहुंच प्राप्त करने के लिए ज्ञात कमजोरियों का फायदा उठाया। विशेष रूप से, TP-Link WR841N राउटरों को CVE-2023-50224 का उपयोग करके निशाना बनाया गया, जो एक प्रमाणीकरण बाईपास खामी है जिसने विशेष रूप से तैयार किए गए HTTP GET अनुरोधों के माध्यम से क्रेडेंशियल निकालने की अनुमति दी।

इसके अतिरिक्त, एक द्वितीयक अवसंरचना समूह की पहचान की गई, जो प्रभावित राउटरों से दूरस्थ हमलावर-नियंत्रित सर्वरों तक DNS ट्रैफ़िक को रिले करने के लिए ज़िम्मेदार था। इस समूह ने चुनिंदा MikroTik राउटरों, विशेष रूप से यूक्रेन में, के विरुद्ध लक्षित, अंतःक्रियात्मक अभियान भी चलाए।

अत्याधुनिक डिवाइस समझौता के माध्यम से उन्नत जासूसी

यह अभियान APT28 की परिचालन रणनीति में एक महत्वपूर्ण विकास का प्रतीक है। पहली बार, इस समूह ने ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) कनेक्शनों के खिलाफ AitM हमलों को अंजाम देने के लिए बड़े पैमाने पर DNS हाइजैकिंग करने की क्षमता का प्रदर्शन किया है।

एंटरप्राइज सिस्टम की तुलना में कम निगरानी वाले एज डिवाइसों को हैक करके, हमलावरों ने नेटवर्क ट्रैफिक की अपस्ट्रीम जानकारी हासिल कर ली। इस रणनीतिक स्थिति ने उन्हें उच्च-मूल्य वाले लक्ष्यों की पहचान करने और खुफिया जानकारी के लिए महत्वपूर्ण व्यक्तियों या संगठनों पर चुनिंदा रूप से ध्यान केंद्रित करने में सक्षम बनाया।

इस अभियान को अवसरवादी प्रकृति का माना जा रहा है, जिसमें शुरू में व्यापक स्तर पर खोजबीन की जाती है और फिर प्राप्त आंकड़ों के मूल्य के आधार पर लक्ष्यों को धीरे-धीरे सीमित किया जाता है।

परिचालन में व्यवधान और निरंतर जोखिम

फ्रॉस्टआर्माडा को समर्थन देने वाले दुर्भावनापूर्ण ढांचे को अमेरिकी न्याय विभाग, संघीय जांच ब्यूरो और अंतरराष्ट्रीय सहयोगियों के समन्वित प्रयास से नष्ट कर दिया गया है। इस व्यवधान के बावजूद, उपयोग की गई तकनीकें असुरक्षित नेटवर्क उपकरणों से जुड़े लगातार जोखिमों को उजागर करती हैं।

हालांकि इस अभियान का मुख्य उद्देश्य खुफिया जानकारी जुटाना रहा है, लेकिन लक्षित निगरानी तंत्र (AitM) की तैनाती का उपयोग व्यापक खतरे पैदा करता है। इस तरह की पहुंच मैलवेयर तैनाती या सेवा से इनकार (DoS) हमलों सहित अतिरिक्त दुर्भावनापूर्ण गतिविधियों को सक्षम कर सकती है, जिससे लक्षित संगठनों पर संभावित प्रभाव काफी बढ़ जाता है।

निष्कर्ष: नेटवर्क सुरक्षा के लिए एक चेतावनी

फ्रॉस्टआर्माडा अभियान नेटवर्क वातावरण में एज डिवाइसों की सुरक्षा के महत्व को रेखांकित करता है। राउटर और डीएनएस इन्फ्रास्ट्रक्चर का दुरुपयोग हमलावरों को निगरानी का एक शक्तिशाली और गुप्त साधन प्रदान करता है, जो अक्सर पारंपरिक सुरक्षा नियंत्रणों को दरकिनार कर देता है।

संगठनों और व्यक्तियों दोनों को ही इस तरह के उन्नत खतरों से उत्पन्न जोखिमों को कम करने के लिए नेटवर्क उपकरणों के उचित विन्यास, समय पर पैचिंग और निरंतर निगरानी को प्राथमिकता देनी चाहिए।