APT28 FrostArmada támadási kampány
Egy kifinomult kiberkémkedési művelet, amelyet az Oroszországhoz köthető APT28 fenyegetőcsoportnak, más néven Forest Blizzardnak tulajdonítanak, sebezhető hálózati infrastruktúrát használt ki nagyszabású megfigyelés végrehajtására. A legalább 2025 májusa óta aktív, FrostArmada kódnevű kampány a bizonytalan MikroTik és TP-Link routerek feltörésére összpontosított, azokat támadó irányítása alatt álló rosszindulatú eszközökké alakítva.
Ez a művelet elsősorban otthoni és kis irodai (SOHO) eszközöket célzott meg, gyenge konfigurációkat kihasználva a DNS-beállítások manipulálására. Ezáltal a támadók képesek voltak elfogni és átirányítani a hálózati forgalmat, lehetővé téve a passzív és nagyrészt észrevehetetlen adatgyűjtést.
Tartalomjegyzék
DNS-eltérítés: Routerek csendes megfigyelőeszközökké alakítása
A kampány középpontjában a DNS-eltérítés áll, egy olyan technika, amely lehetővé teszi a támadók számára, hogy legitim forgalmat irányítsanak át rosszindulatú infrastruktúrán keresztül. Miután egy routert feltörtek, a DNS-beállításait megváltoztatták, hogy a támadó által ellenőrzött szerverekre mutassanak. Ez a manipuláció lehetővé tette az érzékeny adatok elfogását felhasználói beavatkozás nélkül.
Amikor a felhasználók megpróbáltak hozzáférni a célzott domainekhez, kéréseiket csendben átirányították a közbeavatkozó (AitM) csomópontokhoz. Ezek a csomópontok hitelesítési adatokat rögzítettek, beleértve a bejelentkezési adatokat is, és visszaküldték azokat a támadóknak. A folyamat rendkívül titkos volt, ami rendkívül megnehezítette az észlelést.
Támadási lánc lebontása: a kihasználástól a hitelesítő adatok ellopásáig
A támadási életciklus egy strukturált sorrendet követett, amelynek célja az adatgyűjtés maximalizálása és az észlelés minimalizálása volt:
- A SOHO routerek kezdeti kompromittálódása sebezhetőségek vagy gyenge konfigurációk révén
- Jogosulatlan rendszergazdai hozzáférés és a DNS-beállítások módosítása
- DNS-lekérdezések átirányítása rosszindulatú, szereplő által vezérelt feloldókra
- Felhasználói forgalom lehallgatása AitM infrastruktúrán keresztül
- Hitelesítő adatok, beleértve a jelszavakat és az OAuth tokeneket, begyűjtése és kiszűrése
Ez a módszer lehetővé tette a támadók számára, hogy figyeljék az e-mail platformokra és webszolgáltatásokra irányuló bejelentkezési kísérleteket, beleértve a webes Microsoft Outlookot és más, nem Microsoft által üzemeltetett rendszereket is.
Globális elérés és stratégiai célzás
Az idő múlásával a kampány jelentősen kibővült. Bár 2025 májusában korlátozott mértékben indult, a széles körű kihasználási erőfeszítések augusztus elejére fokozódtak. 2025 decemberében érte el csúcspontját, amikor legalább 120 országban több mint 18 000 egyedi IP-címet figyeltek meg, amelyek a támadók által ellenőrzött infrastruktúrával kommunikáltak.
Elsődleges célpontok:
- Kormányzati intézmények, például külügyminisztériumok és bűnüldöző szervek
- Harmadik féltől származó e-mail- és felhőszolgáltatók
- Szervezetek Észak-Afrikában, Közép-Amerikában, Délkelet-Ázsiában és Európában
Több mint 200 szervezetet és körülbelül 5000 fogyasztói eszközt érintett a probléma, ami jól mutatja a művelet mértékét és hatókörét.
Kihasznált sebezhetőségek és infrastrukturális taktikák
A támadók ismert sebezhetőségeket kihasználva fértek hozzá hálózati eszközökhöz. Nevezetesen, a TP-Link WR841N routereket a CVE-2023-50224 nevű hitelesítési megkerülő hibával használták ki, amely lehetővé tette a hitelesítő adatok kinyerését speciálisan létrehozott HTTP GET kéréseken keresztül.
Ezenkívül azonosítottak egy másodlagos infrastruktúra-klasztert, amely a feltört routerek DNS-forgalmának továbbításáért felelős a támadók által vezérelt távoli szerverekre. Ez a klaszter célzott, interaktív műveleteket is hajtott végre egyes MikroTik routerek ellen, különösen Ukrajnában.
Fejlett kémkedés peremhálózati eszközök feltörésével
Ez a kampány jelentős fejlődést jelent az APT28 operatív taktikájában. A csoport most először bizonyította, hogy képes nagy léptékű DNS-eltérítést végrehajtani a Transport Layer Security (TLS) kapcsolatok elleni AitM-támadások elősegítése érdekében.
A vállalati rendszereknél gyakran kevésbé felügyelt peremhálózati eszközök feltörésével a támadók betekintést nyertek a hálózati forgalomba. Ez a stratégiai pozicionálás lehetővé tette számukra, hogy azonosítsák a nagy értékű célpontokat, és szelektíven a hírszerzési szempontból érdekes személyekre vagy szervezetekre összpontosítsanak.
A műveletet opportunista jellegűnek értékelik, kezdetben széles hálót vetettek be, majd fokozatosan szűkítették a célpontokat a lehallgatott adatok értéke alapján.
Működési zavarok és folyamatos kockázatok
A FrostArmadát támogató rosszindulatú infrastruktúrát az Egyesült Államok Igazságügyi Minisztériuma, a Szövetségi Nyomozó Iroda és nemzetközi partnerek összehangolt erőfeszítésével felszámolták. A zavarok ellenére az alkalmazott technikák rávilágítanak a nem biztonságos hálózati eszközökhöz kapcsolódó állandó kockázatokra.
Bár a kampány elsősorban a hírszerzésre összpontosított, az AitM pozicionálás használata szélesebb körű fenyegetéseket jelent. Az ilyen hozzáférés további rosszindulatú tevékenységeket tehet lehetővé, beleértve a rosszindulatú programok telepítését vagy a szolgáltatásmegtagadási támadásokat, jelentősen növelve a célzott szervezetekre gyakorolt potenciális hatást.
Konklúzió: Ébresztő a hálózati biztonság terén
A FrostArmada kampány kiemeli a hálózati környezetekben a peremhálózati eszközök biztonságossá tételének kritikus fontosságát. Az útválasztók és a DNS-infrastruktúra kihasználása hatékony és észrevétlen megfigyelési eszközt biztosít a támadóknak, gyakran megkerülve a hagyományos biztonsági ellenőrzéseket.
A szervezeteknek és az egyéneknek egyaránt prioritásként kell kezelniük a hálózati eszközök megfelelő konfigurálását, időben történő javítását és folyamatos felügyeletét, hogy csökkentsék az ilyen fejlett fenyegetési szereplők által jelentett kockázatokat.
