Vairāku licenču atlaides piedāvājums
Draudu datu bāze Advanced Persistent Threat (APT) APT28 FrostArmada uzbrukuma kampaņa

APT28 FrostArmada uzbrukuma kampaņa

Līdz Mezo. gadam Advanced Persistent Threat (APT), Ļaunprātīga programmatūra, Pikšķerēšana. gadā
Tulkot uz:

Sarežģīta kiberizlūkošanas operācija, kas tiek piedēvēta ar Krieviju saistītajai apdraudējumu grupai APT28, kas pazīstama arī kā Forest Blizzard, ir izmantojusi neaizsargātu tīkla infrastruktūru, lai veiktu plaša mēroga novērošanu. Kampaņa ar kodēto nosaukumu FrostArmada, kas darbojas vismaz kopš 2025. gada maija, bija vērsta uz nedrošu MikroTik un TP-Link maršrutētāju apdraudēšanu, pārveidojot tos par ļaunprātīgiem resursiem uzbrucēja kontrolē.

Šī operācija galvenokārt bija vērsta pret mājas un mazo biroju (SOHO) ierīcēm, izmantojot vājas konfigurācijas, lai manipulētu ar DNS iestatījumiem. Tādējādi uzbrucēji varēja pārtvert un novirzīt tīkla trafiku, nodrošinot pasīvu un lielākoties neatklājamu datu vākšanu.

DNS nolaupīšana: maršrutētāju pārvēršana par klusiem uzraudzības rīkiem

Kampaņas pamatā ir DNS nolaupīšana — tehnika, kas ļāva uzbrucējiem novirzīt likumīgu datplūsmu caur ļaunprātīgu infrastruktūru. Kad maršrutētājs tika apdraudēts, tā DNS iestatījumi tika mainīti, lai norādītu uz uzbrucēja kontrolētiem serveriem. Šī manipulācija ļāva pārtvert sensitīvus datus bez jebkādas lietotāja iejaukšanās.

Kad lietotāji mēģināja piekļūt mērķa domēniem, viņu pieprasījumi tika nemanāmi novirzīti uz uzbrucēju starpniekiem (AitM) mezgliem. Šie mezgli uztvēra autentifikācijas datus, tostarp pieteikšanās akreditācijas datus, un nosūtīja tos atpakaļ uzbrucējiem. Process bija ļoti slepens, tāpēc atklāšana bija ārkārtīgi sarežģīta.

Uzbrukuma ķēdes sadalījums: no ekspluatācijas līdz akreditācijas datu zādzībai

Uzbrukuma dzīves cikls sekoja strukturētai secībai, kas paredzēta, lai maksimāli palielinātu datu vākšanu, vienlaikus samazinot atklāšanu:

  • Sākotnējā SOHO maršrutētāju kompromitēšana ievainojamību vai vāju konfigurāciju dēļ
  • Neautorizēta administratora piekļuve un DNS iestatījumu modificēšana
  • DNS vaicājumu novirzīšana uz ļaunprātīgiem, dalībnieku kontrolētiem risinātājiem
  • Lietotāju datplūsmas pārtveršana, izmantojot AitM infrastruktūru
  • Akreditācijas datu, tostarp paroļu un OAuth žetonu, iegūšana un eksfiltrācija

Šī metode ļāva uzbrucējiem uzraudzīt pieteikšanās mēģinājumus e-pasta platformās un tīmekļa pakalpojumos, tostarp gadījumos, kad bija iesaistīta Microsoft Outlook tīmeklī un citas sistēmas, ko nemitina Microsoft.

Globālā sasniedzamība un stratēģiskā mērķauditorijas atlase

Kampaņa laika gaitā ievērojami paplašinājās. Lai gan tā sākās ierobežotā apjomā 2025. gada maijā, plaši izmantošanas centieni saasinājās līdz augusta sākumam. Savā kulminācijā 2025. gada decembrī tika novērotas vairāk nekā 18 000 unikālu IP adrešu vismaz 120 valstīs, kas sazinājās ar uzbrucēju kontrolētu infrastruktūru.

Galvenie mērķi iekļauti:

  • Valdības iestādes, piemēram, ārlietu ministrijas un tiesībaizsardzības iestādes
  • Trešo pušu e-pasta un mākoņpakalpojumu sniedzēji
  • Organizācijas visā Ziemeļāfrikā, Centrālamerikā, Dienvidaustrumāzijā un Eiropā

Tika ietekmētas vairāk nekā 200 organizācijas un aptuveni 5000 patērētāju ierīču, kas apliecina operācijas apmēru un tvērumu.

Izmantotās ievainojamības un infrastruktūras taktika

Uzbrucēji izmantoja zināmas ievainojamības, lai piekļūtu tīkla ierīcēm. Jāatzīmē, ka TP-Link WR841N maršrutētāji tika izmantoti, izmantojot CVE-2023-50224 — autentifikācijas apiešanas kļūdu, kas ļāva iegūt akreditācijas datus, izmantojot speciāli izstrādātus HTTP GET pieprasījumus.

Turklāt tika identificēts sekundārās infrastruktūras klasteris, kas atbild par DNS datplūsmas pārsūtīšanu no apdraudētiem maršrutētājiem uz attāliem uzbrucēju kontrolētiem serveriem. Šis klasteris veica arī mērķtiecīgas, interaktīvas operācijas pret atsevišķiem MikroTik maršrutētājiem, īpaši Ukrainā.

Paplašināta spiegošana, izmantojot Edge ierīces kompromitēšanu

Šī kampaņa iezīmē būtisku APT28 operatīvās taktikas attīstību. Pirmo reizi grupa ir pierādījusi spēju veikt DNS nolaupīšanu plašā mērogā, lai veicinātu AitM uzbrukumus transporta slāņa drošības (TLS) savienojumiem.

Apdraudot perifērijas ierīces, kas bieži vien ir mazāk uzraudzītas nekā uzņēmumu sistēmas, uzbrucēji ieguva augšupēju redzamību tīkla datplūsmā. Šī stratēģiskā pozicionēšanās ļāva viņiem identificēt vērtīgus mērķus un selektīvi koncentrēties uz personām vai organizācijām, kas interesē izlūkošanas dienestus.

Operācija tiek vērtēta kā oportūnistiska pēc būtības, sākotnēji metot plašu tīklu un pakāpeniski sašaurinot mērķus, pamatojoties uz pārtverto datu vērtību.

Darbības traucējumi un pastāvīgie riski

Ļaunprātīgā infrastruktūra, kas atbalstīja FrostArmada, ir likvidēta, koordinēti iesaistot ASV Tieslietu departamentu, Federālo izmeklēšanas biroju un starptautiskos partnerus. Neskatoties uz šiem traucējumiem, izmantotās metodes izceļ pastāvīgus riskus, kas saistīti ar nedrošām tīkla ierīcēm.

Lai gan kampaņa galvenokārt ir koncentrējusies uz izlūkdienestu informācijas vākšanu, AitM pozicionēšanas izmantošana rada plašākus draudus. Šāda piekļuve varētu veicināt papildu ļaunprātīgas darbības, tostarp ļaunprogrammatūras izvietošanu vai pakalpojuma atteikuma uzbrukumus, ievērojami palielinot potenciālo ietekmi uz mērķa organizācijām.

Secinājums: modināšanas zvans tīkla drošībai

Kampaņa “FrostArmada” uzsver perifērijas ierīču drošības kritisko nozīmi tīkla vidē. Maršrutētāju un DNS infrastruktūras izmantošana nodrošina uzbrucējiem jaudīgus un slepenus novērošanas līdzekļus, bieži vien apejot tradicionālās drošības kontroles.

Gan organizācijām, gan privātpersonām ir jāpiešķir prioritāte pareizai tīkla ierīču konfigurēšanai, savlaicīgai ielāpu instalēšanai un nepārtrauktai uzraudzībai, lai mazinātu šādu progresīvu apdraudējumu dalībnieku radītos riskus.

Tendences

Visvairāk skatīts

Notiek ielāde...