Kempen Serangan Armada Frost APT28

Satu operasi pengintipan siber canggih yang dikaitkan dengan kumpulan ancaman yang berkaitan dengan Rusia, APT28, juga dikenali sebagai Forest Blizzard, telah memanfaatkan infrastruktur rangkaian yang terdedah untuk menjalankan pengawasan berskala besar. Aktif sekurang-kurangnya sejak Mei 2025, kempen yang diberi nama kod FrostArmada itu memberi tumpuan kepada menjejaskan penghala MikroTik dan TP-Link yang tidak selamat, mengubahnya menjadi aset berniat jahat di bawah kawalan penyerang.

Operasi ini terutamanya menyasarkan peranti rumah dan pejabat kecil (SOHO), mengeksploitasi konfigurasi yang lemah untuk memanipulasi tetapan DNS. Dengan berbuat demikian, penyerang dapat memintas dan mengalihkan trafik rangkaian, membolehkan pengumpulan data pasif dan sebahagian besarnya tidak dapat dikesan.

Rampasan DNS: Menukar Penghala menjadi Alat Pengawasan Senyap

Teras kempen ini terletaknya rampasan DNS, satu teknik yang membolehkan penyerang mengalihkan trafik yang sah melalui infrastruktur berniat jahat. Sebaik sahaja penghala dicerobohi, tetapan DNSnya diubah untuk menghala ke pelayan yang dikawal oleh penyerang. Manipulasi ini membolehkan pemintasan data sensitif tanpa memerlukan sebarang interaksi pengguna.

Apabila pengguna cuba mengakses domain yang disasarkan, permintaan mereka dialihkan secara senyap ke nod Penyerang-di-Tengah (AitM). Nod-nod ini menangkap data pengesahan, termasuk kelayakan log masuk, dan menghantarnya kembali kepada penyerang. Prosesnya sangat rahsia, menjadikan pengesanan sangat sukar.

Pecahan Rantaian Serangan: Daripada Eksploitasi kepada Kecurian Kelayakan

Kitaran hayat serangan mengikuti urutan berstruktur yang direka untuk memaksimumkan pengumpulan data sambil meminimumkan pengesanan:

• Kompromi awal penghala SOHO melalui kelemahan atau konfigurasi yang lemah
• Akses pentadbiran tanpa kebenaran dan pengubahsuaian tetapan DNS
• Pengalihan pertanyaan DNS kepada penyelesai yang berniat jahat dan dikawal oleh pelakon
• Pemintasan trafik pengguna melalui infrastruktur AitM
• Penuaian dan penyaringan kelayakan, termasuk kata laluan dan token OAuth

Kaedah ini membolehkan penyerang memantau percubaan log masuk ke platform e-mel dan perkhidmatan web, termasuk contoh yang melibatkan Microsoft Outlook di web dan sistem lain yang bukan dihoskan oleh Microsoft.

Jangkauan Global dan Penargetan Strategik

Kempen ini berkembang dengan ketara dari semasa ke semasa. Walaupun ia bermula dalam kapasiti terhad pada Mei 2025, usaha eksploitasi yang meluas meningkat menjelang awal Ogos. Pada kemuncaknya pada Disember 2025, lebih daripada 18,000 alamat IP unik di sekurang-kurangnya 120 negara diperhatikan berkomunikasi dengan infrastruktur yang dikawal oleh penyerang.

Sasaran utama termasuk:

• Institusi kerajaan seperti kementerian hal ehwal luar dan agensi penguatkuasaan undang-undang
• Penyedia perkhidmatan e-mel dan awan pihak ketiga
• Organisasi di seluruh Afrika Utara, Amerika Tengah, Asia Tenggara dan Eropah

Lebih daripada 200 organisasi dan kira-kira 5,000 peranti pengguna telah terjejas, menunjukkan skala dan jangkauan operasi tersebut.

Kerentanan dan Taktik Infrastruktur yang Dieksploitasi

Penyerang memanfaatkan kelemahan yang diketahui untuk mendapatkan akses kepada peranti rangkaian. Terutamanya, penghala TP-Link WR841N telah dieksploitasi menggunakan CVE-2023-50224, satu kecacatan pintasan pengesahan yang membolehkan pengekstrakan kelayakan melalui permintaan HTTP GET yang direka khas.

Di samping itu, kluster infrastruktur sekunder telah dikenal pasti, yang bertanggungjawab untuk menyampaikan trafik DNS daripada penghala yang dikompromi ke pelayan kawalan penyerang jauh. Kluster ini juga menjalankan operasi interaktif yang disasarkan terhadap penghala MikroTik terpilih, terutamanya di Ukraine.

Pengintipan Lanjutan Melalui Kompromi Peranti Edge

Kempen ini menandakan evolusi ketara dalam taktik operasi APT28. Buat pertama kalinya, kumpulan ini telah menunjukkan keupayaan untuk menjalankan rampasan DNS pada skala besar bagi memudahkan serangan AitM terhadap sambungan Keselamatan Lapisan Pengangkutan (TLS).

Dengan menjejaskan peranti pinggir, yang selalunya kurang dipantau berbanding sistem perusahaan, penyerang memperoleh keterlihatan huluan ke dalam trafik rangkaian. Kedudukan strategik ini membolehkan mereka mengenal pasti sasaran bernilai tinggi dan menumpukan perhatian secara selektif kepada individu atau organisasi yang mempunyai kepentingan perisikan.

Operasi ini dinilai bersifat oportunistik, pada mulanya memberikan jaringan yang luas dan semakin menyempitkan sasaran berdasarkan nilai data yang dipintas.

Gangguan Operasi dan Risiko Berterusan

Infrastruktur berniat jahat yang menyokong FrostArmada telah dirobohkan melalui usaha terselaras yang melibatkan Jabatan Kehakiman AS, Biro Siasatan Persekutuan dan rakan kongsi antarabangsa. Walaupun terdapat gangguan ini, teknik yang digunakan mengetengahkan risiko berterusan yang berkaitan dengan peranti rangkaian yang tidak selamat.

Walaupun kempen ini tertumpu terutamanya pada pengumpulan risikan, penggunaan kedudukan AitM menimbulkan ancaman yang lebih luas. Akses sedemikian boleh membolehkan aktiviti berniat jahat tambahan, termasuk penyebaran perisian hasad atau serangan penafian perkhidmatan, yang meningkatkan potensi impak dengan ketara terhadap organisasi yang disasarkan.

Kesimpulan: Seruan Kebangkitan untuk Keselamatan Rangkaian

Kempen FrostArmada menggariskan kepentingan kritikal dalam mengamankan peranti pinggir dalam persekitaran rangkaian. Eksploitasi penghala dan infrastruktur DNS menyediakan penyerang dengan cara pengawasan yang berkuasa dan tersembunyi, selalunya memintas kawalan keselamatan tradisional.

Organisasi dan individu mesti mengutamakan konfigurasi yang betul, penampalan tepat pada masanya dan pemantauan berterusan peranti rangkaian untuk mengurangkan risiko yang ditimbulkan oleh pelaku ancaman canggih tersebut.