APT28 फ्रोस्टआर्मडा आक्रमण अभियान

रुससँग जोडिएको खतरा समूह APT28, जसलाई फरेस्ट ब्लिजार्ड पनि भनिन्छ, ले ठूलो मात्रामा निगरानी सञ्चालन गर्न कमजोर नेटवर्क पूर्वाधारको लाभ उठाएको छ। कम्तिमा मे २०२५ देखि सक्रिय, फ्रोस्टआर्मडा कोडनाम गरिएको अभियानले असुरक्षित माइक्रोटिक र TP-लिङ्क राउटरहरूलाई सम्झौता गर्नमा केन्द्रित थियो, तिनीहरूलाई आक्रमणकारी नियन्त्रणमा रहेको दुर्भावनापूर्ण सम्पत्तिमा रूपान्तरण गर्दै।

यो अपरेशनले मुख्यतया घर र सानो कार्यालय (SOHO) उपकरणहरूलाई लक्षित गर्‍यो, DNS सेटिङहरू हेरफेर गर्न कमजोर कन्फिगरेसनहरूको शोषण गर्दै। त्यसो गरेर, आक्रमणकारीहरूले नेटवर्क ट्राफिकलाई अवरोध गर्न र रिडिरेक्ट गर्न सक्षम भए, जसले गर्दा निष्क्रिय र धेरै हदसम्म पत्ता लगाउन नसकिने डेटा सङ्कलन सक्षम भयो।

DNS अपहरण: राउटरहरूलाई मौन निगरानी उपकरणहरूमा परिणत गर्दै

अभियानको मूलमा DNS अपहरण निहित छ, एउटा प्रविधि जसले आक्रमणकारीहरूलाई दुर्भावनापूर्ण पूर्वाधार मार्फत वैध ट्राफिकलाई पुन: रुट गर्न अनुमति दियो। एक पटक राउटरमा सम्झौता भएपछि, यसको DNS सेटिङहरू आक्रमणकारी-नियन्त्रित सर्भरहरूमा इंगित गर्न परिवर्तन गरियो। यो हेरफेरले कुनै पनि प्रयोगकर्ता अन्तरक्रियाको आवश्यकता बिना संवेदनशील डेटाको अवरोधलाई सक्षम बनायो।

जब प्रयोगकर्ताहरूले लक्षित डोमेनहरू पहुँच गर्ने प्रयास गर्थे, तिनीहरूका अनुरोधहरू चुपचाप आक्रमणकारी-इन-द-मिडल (AitM) नोडहरूमा रिडिरेक्ट गरिन्थ्यो। यी नोडहरूले लगइन प्रमाणहरू सहित प्रमाणीकरण डेटा कब्जा गर्थे, र यसलाई आक्रमणकारीहरूलाई फिर्ता पठाउँथे। प्रक्रिया अत्यन्तै गोप्य थियो, जसले गर्दा पत्ता लगाउन अत्यन्तै गाह्रो हुन्थ्यो।

आक्रमण श्रृंखला ब्रेकडाउन: शोषण देखि प्रमाणपत्र चोरी सम्म

आक्रमणको जीवनचक्रले पत्ता लगाउने क्षमतालाई न्यूनतम गर्दै डेटा सङ्कलनलाई अधिकतम बनाउन डिजाइन गरिएको संरचित अनुक्रमलाई पछ्यायो:

• कमजोरीहरू वा कमजोर कन्फिगरेसनहरू मार्फत SOHO राउटरहरूको प्रारम्भिक सम्झौता
• अनधिकृत प्रशासनिक पहुँच र DNS सेटिङहरूको परिमार्जन
• DNS क्वेरीहरूको दुर्भावनापूर्ण, अभिनेता-नियन्त्रित समाधानकर्ताहरूमा पुनर्निर्देशन
• AitM पूर्वाधार मार्फत प्रयोगकर्ता ट्राफिकको अवरोध
• पासवर्ड र OAuth टोकनहरू सहित प्रमाणपत्रहरूको सङ्कलन र निष्कासन

यस विधिले आक्रमणकारीहरूलाई प्लेटफर्महरू र वेब सेवाहरूमा इमेल गर्ने लगइन प्रयासहरूको निगरानी गर्न सक्षम बनायो, जसमा वेबमा माइक्रोसफ्ट आउटलुक र अन्य गैर-माइक्रोसफ्ट-होस्ट गरिएका प्रणालीहरू समावेश छन्।

विश्वव्यापी पहुँच र रणनीतिक लक्ष्यीकरण

यो अभियान समयसँगै उल्लेखनीय रूपमा विस्तार भयो। मे २०२५ मा सीमित क्षमतामा सुरु भए पनि, अगस्टको सुरुतिर व्यापक शोषण प्रयासहरू बढे। डिसेम्बर २०२५ मा यसको चरम सीमामा, कम्तिमा १२० देशहरूमा १८,००० भन्दा बढी अद्वितीय IP ठेगानाहरू आक्रमणकारी-नियन्त्रित पूर्वाधारसँग सञ्चार गरिरहेको अवलोकन गरिएको थियो।

प्राथमिक लक्ष्यहरू समावेश थिए:

• परराष्ट्र मन्त्रालय र कानून प्रवर्तन एजेन्सीहरू जस्ता सरकारी संस्थाहरू
• तेस्रो-पक्ष इमेल र क्लाउड सेवा प्रदायकहरू
• उत्तर अफ्रिका, मध्य अमेरिका, दक्षिणपूर्व एशिया र युरोपभरि रहेका संस्थाहरू

२०० भन्दा बढी संस्थाहरू र लगभग ५,००० उपभोक्ता उपकरणहरू प्रभावित भए, जसले सञ्चालनको स्केल र पहुँच प्रदर्शन गर्दछ।

शोषित जोखिम र पूर्वाधार रणनीतिहरू

आक्रमणकारीहरूले नेटवर्क उपकरणहरूमा पहुँच प्राप्त गर्न ज्ञात कमजोरीहरूको फाइदा उठाए। उल्लेखनीय रूपमा, TP-Link WR841N राउटरहरू CVE-2023-50224 प्रयोग गरेर शोषण गरिएको थियो, जुन एक प्रमाणीकरण बाइपास त्रुटि थियो जसले विशेष रूपमा तयार पारिएको HTTP GET अनुरोधहरू मार्फत प्रमाण निकासीलाई अनुमति दियो।

थप रूपमा, एउटा माध्यमिक पूर्वाधार क्लस्टर पहिचान गरिएको थियो, जुन सम्झौता गरिएका राउटरहरूबाट रिमोट आक्रमणकारी-नियन्त्रित सर्भरहरूमा DNS ट्राफिक रिले गर्न जिम्मेवार थियो। यो क्लस्टरले विशेष गरी युक्रेनमा, चयन गरिएका MikroTik राउटरहरू विरुद्ध लक्षित, अन्तरक्रियात्मक अपरेशनहरू पनि सञ्चालन गर्‍यो।

एज उपकरण सम्झौता मार्फत उन्नत जासुसी

यो अभियानले APT28 को सञ्चालन रणनीतिमा महत्वपूर्ण विकासलाई चिन्ह लगाउँछ। पहिलो पटक, समूहले ट्रान्सपोर्ट लेयर सेक्युरिटी (TLS) जडानहरू विरुद्ध AitM आक्रमणहरूलाई सहज बनाउन स्केलमा DNS अपहरण गर्ने क्षमता प्रदर्शन गरेको छ।

इन्टरप्राइज प्रणालीहरू भन्दा प्रायः कम निगरानी गरिएका एज उपकरणहरूसँग सम्झौता गरेर, आक्रमणकारीहरूले नेटवर्क ट्राफिकमा अपस्ट्रीम दृश्यता प्राप्त गरे। यो रणनीतिक स्थितिले उनीहरूलाई उच्च-मूल्य लक्ष्यहरू पहिचान गर्न र गुप्तचर चासोका व्यक्तिहरू वा संस्थाहरूमा छनौट रूपमा ध्यान केन्द्रित गर्न अनुमति दियो।

यो अपरेशन अवसरवादी प्रकृतिको भएको मूल्याङ्कन गरिएको छ, सुरुमा फराकिलो जाल कास्ट गर्दै र अवरोधित डेटाको मूल्यको आधारमा लक्ष्यहरूलाई क्रमशः साँघुरो पार्दै।

सञ्चालन अवरोध र निरन्तर जोखिमहरू

अमेरिकी न्याय विभाग, संघीय अनुसन्धान ब्यूरो र अन्तर्राष्ट्रिय साझेदारहरू सम्मिलित समन्वित प्रयास मार्फत फ्रोस्टआर्मडालाई समर्थन गर्ने दुर्भावनापूर्ण पूर्वाधारलाई भत्काइएको छ। यस अवरोधको बावजुद, प्रयोग गरिएका प्रविधिहरूले असुरक्षित नेटवर्क उपकरणहरूसँग सम्बन्धित निरन्तर जोखिमहरूलाई हाइलाइट गर्दछ।

अभियानले मुख्यतया गुप्तचर सङ्कलनमा ध्यान केन्द्रित गरेको भए तापनि, AitM स्थितिको प्रयोगले व्यापक खतराहरू प्रस्तुत गर्दछ। यस्तो पहुँचले मालवेयर तैनाती वा सेवा अस्वीकार गर्ने आक्रमणहरू सहित थप दुर्भावनापूर्ण गतिविधिहरूलाई सक्षम बनाउन सक्छ, जसले लक्षित संस्थाहरूमा सम्भावित प्रभावलाई उल्लेखनीय रूपमा बढाउँछ।

निष्कर्ष: नेटवर्क सुरक्षाको लागि एक जागरण आह्वान

फ्रोस्टआर्मडा अभियानले नेटवर्क वातावरण भित्र एज उपकरणहरू सुरक्षित गर्नुको महत्वपूर्ण महत्त्वलाई जोड दिन्छ। राउटरहरू र DNS पूर्वाधारको शोषणले आक्रमणकारीहरूलाई निगरानीको शक्तिशाली र गोप्य माध्यम प्रदान गर्दछ, प्रायः परम्परागत सुरक्षा नियन्त्रणहरूलाई बाइपास गर्दै।

यस्ता उन्नत खतरा कारकहरूबाट उत्पन्न जोखिमहरूलाई कम गर्न संस्थाहरू र व्यक्तिहरूले समान रूपमा उचित कन्फिगरेसन, समयमै प्याचिङ, र नेटवर्क उपकरणहरूको निरन्तर अनुगमनलाई प्राथमिकता दिनुपर्छ।