Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Išplėstinė nuolatinė grėsmė (APT) APT28 „FrostArmada“ atakos kampanija

APT28 „FrostArmada“ atakos kampanija

Autorius Mezo, Išplėstinė nuolatinė grėsmė (APT), Kenkėjiška programa, Sukčiavimas
Versti į:

Sudėtinga kibernetinio šnipinėjimo operacija, priskiriama su Rusija susijusiai grėsmių grupuotei APT28, dar žinomai kaip „Forest Blizzard“, pasinaudojo pažeidžiama tinklo infrastruktūra didelio masto stebėjimui. Kampanija, kodiniu pavadinimu „FrostArmada“, vykdoma mažiausiai nuo 2025 m. gegužės mėn., buvo skirta pažeisti nesaugius „MikroTik“ ir „TP-Link“ maršrutizatorius, paverčiant juos kenkėjiškais ištekliais, kuriuos kontroliuotų užpuolikai.

Ši operacija daugiausia buvo nukreipta į namų ir mažų biurų (SOHO) įrenginius, išnaudojant silpnas konfigūracijas DNS nustatymams manipuliuoti. Taip užpuolikai galėjo perimti ir nukreipti tinklo srautą, leisdami pasyviai ir iš esmės neaptinkamai rinkti duomenis.

DNS užgrobimas: maršrutizatorių pavertimas tyliomis stebėjimo priemonėmis

Kampanijos pagrindas – DNS užgrobimas – technika, leidžianti užpuolikams nukreipti teisėtą srautą per kenkėjišką infrastruktūrą. Pažeidus maršrutizatorių, jo DNS nustatymai buvo pakeisti taip, kad būtų nukreipta į užpuoliko kontroliuojamus serverius. Šis manipuliavimas leido perimti jautrius duomenis be jokio vartotojo įsikišimo.

Kai vartotojai bandė pasiekti tikslinius domenus, jų užklausos buvo tyliai nukreipiamos į „Attacker-in-the-Middle“ (AitM) mazgus. Šie mazgai užfiksavo autentifikavimo duomenis, įskaitant prisijungimo duomenis, ir perdavė juos užpuolikams. Procesas buvo labai slaptas, todėl aptikimą buvo itin sunku.

Atakų grandinės suskirstymas: nuo išnaudojimo iki kredencialų vagystės

Atakos gyvavimo ciklas atitiko struktūrizuotą seką, skirtą maksimaliam duomenų rinkimui ir minimaliam aptikimui:

  • Pradinis SOHO maršrutizatorių kompromitavimas dėl pažeidžiamumų ar silpnų konfigūracijų
  • Neteisėta administratoriaus prieiga ir DNS nustatymų keitimas
  • DNS užklausų peradresavimas į kenkėjiškus, veikėjų valdomus DNS serverius
  • Vartotojų srauto perėmimas per AitM infrastruktūrą
  • Kredencialų, įskaitant slaptažodžius ir „OAuth“ prieigos raktus, rinkimas ir nutekėjimas

Šis metodas leido užpuolikams stebėti prisijungimo bandymus prie el. pašto platformų ir žiniatinklio paslaugų, įskaitant atvejus, susijusius su „Microsoft Outlook“ žiniatinklyje ir kitomis ne „Microsoft“ talpinamomis sistemomis.

Pasaulinis pasiekiamumas ir strateginė taikymas

Kampanija laikui bėgant gerokai išsiplėtė. Nors ji prasidėjo ribotu mastu 2025 m. gegužę, plataus masto išnaudojimo pastangos suintensyvėjo rugpjūčio pradžioje. Didžiausio smūgį pasiekė 2025 m. gruodį, kai buvo pastebėta daugiau nei 18 000 unikalių IP adresų mažiausiai 120 šalių, bendraujančių su užpuolikų kontroliuojama infrastruktūra.

Pagrindiniai tikslai:

  • Vyriausybės institucijos, tokios kaip užsienio reikalų ministerijos ir teisėsaugos institucijos
  • Trečiųjų šalių el. pašto ir debesijos paslaugų teikėjai
  • Organizacijos visoje Šiaurės Afrikoje, Centrinėje Amerikoje, Pietryčių Azijoje ir Europoje

Nukentėjo daugiau nei 200 organizacijų ir maždaug 5000 vartotojų įrenginių, o tai rodo operacijos mastą ir aprėptį.

Išnaudoti pažeidžiamumai ir infrastruktūros taktika

Užpuolikai pasinaudojo žinomais pažeidžiamumais, kad gautų prieigą prie tinklo įrenginių. Visų pirma, TP-Link WR841N maršrutizatorių pažeidžiamumai buvo išnaudoti naudojant CVE-2023-50224 – autentifikavimo apėjimo klaidą, kuri leido išgauti prisijungimo duomenis naudojant specialiai sukurtas HTTP GET užklausas.

Be to, buvo identifikuotas antrinis infrastruktūros klasteris, atsakingas už DNS srauto perdavimą iš pažeistų maršrutizatorių į nuotolinius užpuolikų kontroliuojamus serverius. Šis klasteris taip pat vykdė tikslines, interaktyvias operacijas prieš pasirinktus „MikroTik“ maršrutizatorius, ypač Ukrainoje.

Pažangus šnipinėjimas per periferinių įrenginių kompromitavimą

Ši kampanija žymi reikšmingą APT28 operacinės taktikos evoliuciją. Pirmą kartą grupė pademonstravo gebėjimą dideliu mastu užgrobti DNS, kad būtų lengviau vykdyti AitM atakas prieš Transport Layer Security (TLS) ryšius.

Pažeidę periferinius įrenginius, kurie dažnai yra mažiau stebimi nei įmonių sistemos, užpuolikai įgijo matomumą tinklo sraute. Toks strateginis pozicionavimas leido jiems nustatyti vertingus taikinius ir selektyviai sutelkti dėmesį į žvalgybos požiūriu svarbius asmenis ar organizacijas.

Operacija vertinama kaip oportunistinė, iš pradžių metant platų tinklą ir palaipsniui siaurinant taikinius, atsižvelgiant į perimtų duomenų vertę.

Veiklos sutrikimai ir nuolatinė rizika

Kenkėjiška infrastruktūra, palaikanti „FrostArmada“, buvo išardyta koordinuotomis pastangomis, kuriose dalyvavo JAV Teisingumo departamentas, Federalinis tyrimų biuras ir tarptautiniai partneriai. Nepaisant šio sutrikdymo, naudojami metodai pabrėžia nuolatinę riziką, susijusią su neapsaugotais tinklo įrenginiais.

Nors kampanija daugiausia buvo skirta žvalgybos duomenų rinkimui, „AitM“ pozicionavimo naudojimas kelia platesnę grėsmę. Tokia prieiga galėtų sudaryti sąlygas papildomai kenkėjiškai veiklai, įskaitant kenkėjiškų programų diegimą ar paslaugų teikimo trikdymo atakas, o tai žymiai padidintų galimą poveikį tikslinėms organizacijoms.

Išvada: tinklo saugumo žadinimo skambutis

„FrostArmada“ kampanija pabrėžia, kaip svarbu apsaugoti tinklo periferinius įrenginius. Maršrutizatorių ir DNS infrastruktūros išnaudojimas suteikia užpuolikams galingą ir slaptą stebėjimo priemonę, dažnai apeinant tradicines saugumo kontrolės priemones.

Tiek organizacijos, tiek asmenys turi teikti pirmenybę tinkamam tinklo įrenginių konfigūravimui, savalaikiam pataisymų diegimui ir nuolatiniam stebėjimui, kad sumažintų tokių pažangių grėsmių subjektų keliamą riziką.

Tendencijos

Labiausiai žiūrima

Įkeliama...