Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) APT28 FrostArmada-aanvalscampagne

APT28 FrostArmada-aanvalscampagne

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware, Phishing
Vertalen naar:

Een geavanceerde cyberespionageoperatie, toegeschreven aan de aan Rusland gelieerde dreigingsgroep APT28, ook bekend als Forest Blizzard, heeft gebruikgemaakt van kwetsbare netwerkinfrastructuur om grootschalige surveillance uit te voeren. De campagne, met de codenaam FrostArmada, is actief sinds ten minste mei 2025 en richtte zich op het compromitteren van onveilige MikroTik- en TP-Link-routers, waardoor deze werden omgevormd tot kwaadaardige apparaten onder controle van de aanvallers.

Deze operatie was voornamelijk gericht op apparaten in thuisgebruik en kleine kantoren (SOHO), waarbij zwakke configuraties werden misbruikt om DNS-instellingen te manipuleren. Op die manier konden aanvallers netwerkverkeer onderscheppen en omleiden, wat leidde tot passieve en grotendeels ondetecteerbare gegevensverzameling.

DNS-kaping: routers veranderen in stille bewakingsinstrumenten

De kern van de campagne is DNS-hijacking, een techniek waarmee aanvallers legitiem verkeer konden omleiden via kwaadaardige infrastructuur. Zodra een router was gecompromitteerd, werden de DNS-instellingen gewijzigd om naar door de aanvallers beheerde servers te verwijzen. Deze manipulatie maakte het mogelijk om gevoelige gegevens te onderscheppen zonder enige tussenkomst van de gebruiker.

Wanneer gebruikers probeerden toegang te krijgen tot de beoogde domeinen, werden hun verzoeken stilletjes doorgestuurd naar Attacker-in-the-Middle (AitM)-nodes. Deze nodes onderschepten authenticatiegegevens, waaronder inloggegevens, en stuurden deze terug naar de aanvallers. Het proces was zeer heimelijk, waardoor detectie extreem moeilijk was.

Analyse van de aanvalsketen: van exploitatie tot diefstal van inloggegevens

De aanvalscyclus volgde een gestructureerde volgorde die erop gericht was de gegevensverzameling te maximaliseren en de detectie te minimaliseren:

  • Initiële compromittering van SOHO-routers via kwetsbaarheden of zwakke configuraties.
  • Ongeautoriseerde beheerderstoegang tot en wijziging van DNS-instellingen
  • Omleiding van DNS-query's naar kwaadwillende, door de aanvallers gecontroleerde resolvers
  • Het onderscheppen van gebruikersverkeer via de AitM-infrastructuur.
  • Het verzamelen en doorsluizen van inloggegevens, waaronder wachtwoorden en OAuth-tokens.

Deze methode stelde aanvallers in staat om inlogpogingen op e-mailplatformen en webdiensten te monitoren, waaronder gevallen met Microsoft Outlook op het web en andere systemen die niet door Microsoft worden gehost.

Wereldwijd bereik en strategische targeting

De campagne breidde zich in de loop der tijd aanzienlijk uit. Hoewel deze in mei 2025 op beperkte schaal begon, namen de grootschalige exploitatiepogingen begin augustus toe. Op het hoogtepunt in december 2025 werden meer dan 18.000 unieke IP-adressen in minstens 120 landen waargenomen die communiceerden met door de aanvallers gecontroleerde infrastructuur.

De belangrijkste doelstellingen waren onder meer:

  • Overheidsinstellingen zoals ministeries van Buitenlandse Zaken en wetshandhavingsinstanties
  • Externe aanbieders van e-mail- en clouddiensten
  • Organisaties in Noord-Afrika, Centraal-Amerika, Zuidoost-Azië en Europa.

Meer dan 200 organisaties en circa 5.000 consumentenapparaten werden getroffen, wat de omvang en reikwijdte van de operatie aantoont.

Uitgebuitte kwetsbaarheden en infrastructuurtactieken

De aanvallers maakten gebruik van bekende kwetsbaarheden om toegang te krijgen tot netwerkapparaten. Met name TP-Link WR841N-routers werden misbruikt via CVE-2023-50224, een authenticatie-omzeilingsfout waarmee inloggegevens konden worden verkregen via speciaal geconstrueerde HTTP GET-verzoeken.

Daarnaast werd een secundair infrastructuurcluster geïdentificeerd, verantwoordelijk voor het doorsturen van DNS-verkeer van gecompromitteerde routers naar externe, door aanvallers beheerde servers. Dit cluster voerde ook gerichte, interactieve aanvallen uit op bepaalde MikroTik-routers, met name in Oekraïne.

Geavanceerde spionage via compromittering van randapparatuur

Deze campagne markeert een belangrijke evolutie in de operationele tactieken van APT28. Voor het eerst heeft de groep aangetoond in staat te zijn DNS-kaping op grote schaal uit te voeren om AitM-aanvallen op Transport Layer Security (TLS)-verbindingen mogelijk te maken.

Door apparaten aan de rand van het netwerk te compromitteren, die vaak minder goed worden bewaakt dan bedrijfssystemen, kregen aanvallers inzicht in het netwerkverkeer. Deze strategische positionering stelde hen in staat waardevolle doelwitten te identificeren en zich selectief te richten op personen of organisaties die van belang waren voor de inlichtingendiensten.

De operatie wordt als opportunistisch van aard beschouwd, waarbij aanvankelijk een breed net wordt uitgeworpen en de doelwitten geleidelijk worden verkleind op basis van de waarde van de onderschepte gegevens.

Operationele verstoring en aanhoudende risico’s

De kwaadaardige infrastructuur die FrostArmada ondersteunde, is ontmanteld dankzij een gecoördineerde actie van het Amerikaanse ministerie van Justitie, de Federal Bureau of Investigation en internationale partners. Ondanks deze ontwrichting benadrukken de gebruikte technieken de aanhoudende risico's die verbonden zijn aan onbeveiligde netwerkapparaten.

Hoewel de campagne zich voornamelijk richtte op het verzamelen van inlichtingen, brengt het gebruik van AitM-positionering bredere bedreigingen met zich mee. Dergelijke toegang zou aanvullende kwaadwillige activiteiten mogelijk kunnen maken, waaronder de verspreiding van malware of denial-of-service-aanvallen, waardoor de potentiële impact op de doelwitten aanzienlijk zou toenemen.

Conclusie: Een waarschuwing voor netwerkbeveiliging

De FrostArmada-campagne onderstreept het cruciale belang van het beveiligen van apparaten aan de rand van het netwerk. Misbruik van routers en DNS-infrastructuur biedt aanvallers een krachtige en heimelijke manier van surveillance, waarbij traditionele beveiligingsmaatregelen vaak worden omzeild.

Zowel organisaties als individuen moeten prioriteit geven aan een correcte configuratie, het tijdig installeren van patches en continue monitoring van netwerkapparaten om de risico's van dergelijke geavanceerde cybercriminelen te beperken.

Trending

Meest bekeken

Bezig met laden...