Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) APT28 FrostArmada-angrepskampanjen

APT28 FrostArmada-angrepskampanjen

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare, Phishing
Oversett til:

En sofistikert cyberspionasjeoperasjon tilskrevet den Russland-tilknyttede trusselgruppen APT28, også kjent som Forest Blizzard, har utnyttet sårbar nettverksinfrastruktur til å utføre storskala overvåking. Kampanjen, med kodenavnet FrostArmada, har vært aktiv siden minst mai 2025 og fokuserte på å kompromittere usikre MikroTik- og TP-Link-rutere og transformere dem til ondsinnede ressurser under angriperens kontroll.

Denne operasjonen var primært rettet mot enheter for hjemmekontorer og små kontorer (SOHO), og utnyttet svake konfigurasjoner for å manipulere DNS-innstillinger. Ved å gjøre dette klarte angriperne å avlytte og omdirigere nettverkstrafikk, noe som muliggjorde passiv og stort sett uoppdagbar datainnsamling.

DNS-kapring: Gjør rutere om til stille overvåkingsverktøy

Kjernen i kampanjen ligger DNS-kapring, en teknikk som tillot angripere å omdirigere legitim trafikk gjennom ondsinnet infrastruktur. Når en ruter ble kompromittert, ble DNS-innstillingene endret for å peke til angriperkontrollerte servere. Denne manipulasjonen muliggjorde avlytting av sensitive data uten at det kreves noen brukerinteraksjon.

Når brukere forsøkte å få tilgang til målrettede domener, ble forespørslene deres stille omdirigert til AitM-noder (Angriper-i-middle-noder). Disse nodene fanget opp autentiseringsdata, inkludert påloggingsinformasjon, og overførte dem tilbake til angriperne. Prosessen var svært skjult, noe som gjorde deteksjon ekstremt vanskelig.

Nedbryting av angrepskjeden: Fra utnyttelse til tyveri av legitimasjon

Angrepslivssyklusen fulgte en strukturert sekvens som var utformet for å maksimere datainnsamlingen samtidig som deteksjon ble minimert:

  • Førstegangskompromittering av SOHO-rutere gjennom sårbarheter eller svake konfigurasjoner
  • Uautorisert administratortilgang og endring av DNS-innstillinger
  • Omdirigering av DNS-spørringer til ondsinnede, aktørkontrollerte resolvere
  • Avlytting av brukertrafikk via AitM-infrastruktur
  • Innsamling og uttrekk av legitimasjon, inkludert passord og OAuth-tokener

Denne metoden gjorde det mulig for angripere å overvåke påloggingsforsøk til e-postplattformer og webtjenester, inkludert tilfeller som involverte Microsoft Outlook på nettet og andre systemer som ikke var hostet av Microsoft.

Global rekkevidde og strategisk målretting

Kampanjen utvidet seg betydelig over tid. Selv om den startet i begrenset kapasitet i mai 2025, eskalerte den omfattende utnyttelsesinnsatsen i begynnelsen av august. På toppen i desember 2025 ble mer enn 18 000 unike IP-adresser i minst 120 land observert som kommuniserte med angriperkontrollert infrastruktur.

Primære mål inkludert:

  • Statlige institusjoner som utenriksdepartementer og politimyndigheter
  • Tredjepartsleverandører av e-post og skytjenester
  • Organisasjoner i Nord-Afrika, Mellom-Amerika, Sørøst-Asia og Europa

Mer enn 200 organisasjoner og omtrent 5000 forbrukerenheter ble berørt, noe som viser omfanget og rekkevidden til operasjonen.

Utnyttede sårbarheter og infrastrukturtaktikker

Angriperne utnyttet kjente sårbarheter for å få tilgang til nettverksenheter. Spesielt ble TP-Link WR841N-rutere utnyttet ved hjelp av CVE-2023-50224, en autentiseringsomgåelsesfeil som tillot uttrekking av legitimasjon via spesiallagde HTTP GET-forespørsler.

I tillegg ble det identifisert en sekundær infrastrukturklynge som var ansvarlig for å videresende DNS-trafikk fra kompromitterte rutere til eksterne angriperkontrollerte servere. Denne klyngen utførte også målrettede, interaktive operasjoner mot utvalgte MikroTik-rutere, spesielt i Ukraina.

Avansert spionasje gjennom kompromittering av Edge Device

Denne kampanjen markerer en betydelig utvikling i APT28s operative taktikk. For første gang har gruppen demonstrert evnen til å utføre DNS-kapring i stor skala for å legge til rette for AitM-angrep mot Transport Layer Security (TLS)-tilkoblinger.

Ved å kompromittere kantenheter, ofte mindre overvåket enn bedriftssystemer, fikk angripere innsikt i nettverkstrafikken oppstrøms. Denne strategiske posisjoneringen tillot dem å identifisere verdifulle mål og selektivt fokusere på enkeltpersoner eller organisasjoner av etterretningsinteresse.

Operasjonen vurderes å være opportunistisk av natur, i utgangspunktet med et bredt nett og gradvis innsnevrede mål basert på verdien av avlyttede data.

Driftsforstyrrelser og pågående risikoer

Den ondsinnede infrastrukturen som støtter FrostArmada har blitt demontert gjennom en koordinert innsats som involverer det amerikanske justisdepartementet, Federal Bureau of Investigation og internasjonale partnere. Til tross for denne forstyrrelsen fremhever teknikkene som brukes vedvarende risikoer forbundet med usikrede nettverksenheter.

Selv om kampanjen primært har fokusert på innsamling av etterretning, representerer bruken av AitM-posisjonering bredere trusler. Slik tilgang kan muliggjøre ytterligere ondsinnede aktiviteter, inkludert utrulling av skadelig programvare eller tjenestenektangrep, noe som øker den potensielle effekten på målrettede organisasjoner betydelig.

Konklusjon: En vekker for nettverkssikkerhet

FrostArmada-kampanjen understreker den kritiske viktigheten av å sikre kantenheter i nettverksmiljøer. Utnyttelse av rutere og DNS-infrastruktur gir angripere et kraftig og skjult overvåkingsmiddel, ofte ved å omgå tradisjonelle sikkerhetskontroller.

Både organisasjoner og enkeltpersoner må prioritere riktig konfigurasjon, rettidig oppdatering og kontinuerlig overvåking av nettverksenheter for å redusere risikoen som utgjøres av slike avanserte trusselaktører.

Trender

Mest sett

Laster inn...