Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) APT28 Kampanja napada FrostArmade

APT28 Kampanja napada FrostArmade

Do Mezo. Napredna trajna prijetnja (APT), Malware, Krađa identiteta. godine
Prevedi na:

Sofisticirana operacija kibernetičke špijunaže pripisana ruskoj skupini APT28, poznatoj i kao Forest Blizzard, iskoristila je ranjivu mrežnu infrastrukturu za provođenje nadzora velikih razmjera. Aktivna od najmanje svibnja 2025., kampanja kodnog naziva FrostArmada usredotočila se na kompromitiranje nesigurnih MikroTik i TP-Link usmjerivača, pretvarajući ih u zlonamjernu imovinu pod kontrolom napadača.

Ova je operacija prvenstveno bila usmjerena na kućne i male uredske (SOHO) uređaje, iskorištavajući slabe konfiguracije za manipuliranje DNS postavkama. Na taj su način napadači mogli presresti i preusmjeriti mrežni promet, omogućujući pasivno i uglavnom neotkriveno prikupljanje podataka.

Otmica DNS-a: Pretvaranje usmjerivača u tihe alate za nadzor

U središtu kampanje leži otmica DNS-a, tehnika koja je napadačima omogućavala preusmjeravanje legitimnog prometa kroz zlonamjernu infrastrukturu. Nakon što bi usmjerivač bio kompromitiran, njegove DNS postavke su mijenjane kako bi upućivale na poslužitelje kojima upravlja napadač. Ova manipulacija omogućila je presretanje osjetljivih podataka bez potrebe za ikakvom interakcijom korisnika.

Kada su korisnici pokušali pristupiti ciljanim domenama, njihovi su zahtjevi tiho preusmjereni na čvorove Attacker-in-the-Middle (AitM). Ti su čvorovi hvatali podatke za autentifikaciju, uključujući vjerodajnice za prijavu, i prenosili ih natrag napadačima. Proces je bio vrlo tajan, što je otkrivanje činilo izuzetno teškim.

Raspodjela lanca napada: Od iskorištavanja do krađe vjerodajnica

Životni ciklus napada slijedio je strukturirani slijed osmišljen kako bi se maksimiziralo prikupljanje podataka uz minimiziranje otkrivanja:

  • Početno kompromitiranje SOHO usmjerivača putem ranjivosti ili slabih konfiguracija
  • Neovlašteni administratorski pristup i izmjena DNS postavki
  • Preusmjeravanje DNS upita na zlonamjerne DNS resolvere kontrolirane od strane aktera
  • Presretanje korisničkog prometa putem AitM infrastrukture
  • Prikupljanje i krađa vjerodajnica, uključujući lozinke i OAuth tokene

Ova je metoda omogućila napadačima praćenje pokušaja prijave na platforme za e-poštu i web usluge, uključujući instance koje uključuju Microsoft Outlook na webu i druge sustave koje ne hostira Microsoft.

Globalni doseg i strateško ciljanje

Kampanja se s vremenom značajno proširila. Iako je započela u ograničenom kapacitetu u svibnju 2025., široko rasprostranjeni napori iskorištavanja eskalirali su do početka kolovoza. Na vrhuncu u prosincu 2025. uočeno je više od 18 000 jedinstvenih IP adresa u najmanje 120 zemalja koje su komunicirale s infrastrukturom koju kontroliraju napadači.

Primarni ciljevi su uključivali:

  • Vladine institucije poput ministarstava vanjskih poslova i agencija za provođenje zakona
  • Pružatelji usluga e-pošte i usluga u oblaku trećih strana
  • Organizacije diljem Sjeverne Afrike, Srednje Amerike, Jugoistočne Azije i Europe

Pogođeno je više od 200 organizacija i otprilike 5000 potrošačkih uređaja, što pokazuje opseg i doseg operacije.

Iskorištene ranjivosti i taktike infrastrukture

Napadači su iskoristili poznate ranjivosti kako bi dobili pristup mrežnim uređajima. Posebno je važno napomenuti da su TP-Link WR841N usmjerivači iskorišteni pomoću CVE-2023-50224, propusta za zaobilaženje autentifikacije koji je omogućavao izdvajanje vjerodajnica putem posebno izrađenih HTTP GET zahtjeva.

Osim toga, identificiran je sekundarni infrastrukturni klaster, odgovoran za preusmjeravanje DNS prometa s kompromitiranih usmjerivača na udaljene poslužitelje kojima upravljaju napadači. Ovaj klaster je također provodio ciljane, interaktivne operacije protiv odabranih MikroTik usmjerivača, posebno u Ukrajini.

Napredna špijunaža kompromitiranjem rubnih uređaja

Ova kampanja označava značajnu evoluciju u operativnim taktikama APT28. Grupa je prvi put pokazala sposobnost provođenja DNS otmice u velikim razmjerima kako bi olakšala AitM napade na TLS (Transport Layer Security) veze.

Kompromitiranjem rubnih uređaja, koji se često manje nadziru od poslovnih sustava, napadači su dobili uvid u mrežni promet. Ovo strateško pozicioniranje omogućilo im je prepoznavanje visokovrijednih ciljeva i selektivno fokusiranje na pojedince ili organizacije od obavještajnog interesa.

Procjenjuje se da je operacija oportunistička, u početku bacajući široku mrežu i postupno sužavajući ciljeve na temelju vrijednosti presretnutih podataka.

Operativni poremećaji i tekući rizici

Zlonamjerna infrastruktura koja podržava FrostArmadu uništena je koordiniranim naporima u kojima su sudjelovali Ministarstvo pravosuđa SAD-a, Federalni istražni ured i međunarodni partneri. Unatoč ovom poremećaju, korištene tehnike ističu trajne rizike povezane s neosiguranim mrežnim uređajima.

Iako se kampanja prvenstveno usredotočila na prikupljanje obavještajnih podataka, korištenje AitM pozicioniranja predstavlja šire prijetnje. Takav pristup mogao bi omogućiti dodatne zlonamjerne aktivnosti, uključujući implementaciju zlonamjernog softvera ili napade uskraćivanjem usluge, što značajno povećava potencijalni utjecaj na ciljane organizacije.

Zaključak: Poziv na buđenje za mrežnu sigurnost

Kampanja FrostArmada naglašava ključnu važnost osiguranja rubnih uređaja unutar mrežnih okruženja. Iskorištavanje usmjerivača i DNS infrastrukture napadačima pruža moćno i prikriveno sredstvo nadzora, često zaobilazeći tradicionalne sigurnosne kontrole.

Organizacije i pojedinci moraju dati prioritet pravilnoj konfiguraciji, pravovremenom instaliranju zakrpa i kontinuiranom praćenju mrežnih uređaja kako bi ublažili rizike koje predstavljaju takvi napredni akteri prijetnji.

U trendu

Nagledanije

Učitavam...