APT28 FrostArmada Attack Campaign
Zaawansowana operacja cybernetycznego szpiegostwa przypisywana powiązanej z Rosją grupie cyberprzestępców APT28, znanej również jako Forest Blizzard, wykorzystała podatną na ataki infrastrukturę sieciową do prowadzenia inwigilacji na szeroką skalę. Kampania o kryptonimie FrostArmada, trwająca co najmniej od maja 2025 roku, koncentrowała się na atakowaniu niezabezpieczonych routerów MikroTik i TP-Link, przekształcając je w złośliwe zasoby pod kontrolą atakujących.
Operacja ta była skierowana głównie na urządzenia domowe i małe biura (SOHO), wykorzystując słabe konfiguracje do manipulowania ustawieniami DNS. Dzięki temu atakujący byli w stanie przechwytywać i przekierowywać ruch sieciowy, umożliwiając pasywne i w dużej mierze niewykrywalne gromadzenie danych.
Spis treści
Przejmowanie DNS: przekształcanie routerów w narzędzia do cichego nadzoru
U podstaw kampanii leży przechwytywanie DNS, technika umożliwiająca atakującym przekierowywanie legalnego ruchu przez szkodliwą infrastrukturę. Po włamaniu do routera jego ustawienia DNS były zmieniane tak, aby wskazywały na serwery kontrolowane przez atakujących. Ta manipulacja umożliwiała przechwytywanie poufnych danych bez konieczności interakcji ze strony użytkownika.
Gdy użytkownicy próbowali uzyskać dostęp do docelowych domen, ich żądania były dyskretnie przekierowywane do węzłów AitM (Attacker-in-the-Middle). Węzły te przechwytywały dane uwierzytelniające, w tym dane logowania, i przesyłały je z powrotem atakującym. Proces ten był wysoce tajny, co znacznie utrudniało wykrycie.
Przerwanie łańcucha ataków: od wykorzystania do kradzieży danych uwierzytelniających
Cykl ataku przebiegał według ustrukturyzowanej sekwencji mającej na celu maksymalizację gromadzenia danych przy jednoczesnej minimalizacji ryzyka wykrycia:
- Początkowe zagrożenie routerów SOHO poprzez luki w zabezpieczeniach lub słabe konfiguracje
- Nieautoryzowany dostęp administracyjny i modyfikacja ustawień DNS
- Przekierowywanie zapytań DNS do złośliwych resolverów kontrolowanych przez aktora
- Przechwytywanie ruchu użytkowników za pośrednictwem infrastruktury AitM
- Gromadzenie i eksfiltracja danych uwierzytelniających, w tym haseł i tokenów OAuth
Metoda ta umożliwiała atakującym monitorowanie prób logowania do platform poczty e-mail i usług sieciowych, w tym przypadków obejmujących program Microsoft Outlook w sieci Web i inne systemy hostowane przez firmy inne niż Microsoft.
Globalny zasięg i strategiczne targetowanie
Kampania z czasem znacznie się rozrosła. Choć rozpoczęła się w maju 2025 roku w ograniczonym zakresie, na początku sierpnia jej szeroko zakrojone działania eksploatacyjne nasiliły się. W szczytowym momencie, w grudniu 2025 roku, zaobserwowano ponad 18 000 unikalnych adresów IP w co najmniej 120 krajach komunikujących się z infrastrukturą kontrolowaną przez atakujących.
Główne cele obejmowały:
- Instytucje rządowe, takie jak ministerstwa spraw zagranicznych i agencje ścigania
- Zewnętrzni dostawcy poczty e-mail i usług w chmurze
- Organizacje w Afryce Północnej, Ameryce Środkowej, Azji Południowo-Wschodniej i Europie
Atak dotknął ponad 200 organizacji i około 5000 urządzeń konsumenckich, co pokazuje skalę i zasięg tej operacji.
Wykorzystywane luki i taktyki infrastrukturalne
Atakujący wykorzystali znane luki w zabezpieczeniach, aby uzyskać dostęp do urządzeń sieciowych. Warto zauważyć, że routery TP-Link WR841N zostały wykorzystane z wykorzystaniem luki CVE-2023-50224, która umożliwiała ominięcie uwierzytelniania i wyłudzanie danych uwierzytelniających za pomocą specjalnie spreparowanych żądań HTTP GET.
Dodatkowo zidentyfikowano dodatkowy klaster infrastruktury, odpowiedzialny za przekazywanie ruchu DNS z zainfekowanych routerów do zdalnych serwerów kontrolowanych przez atakujących. Klaster ten przeprowadzał również ukierunkowane, interaktywne operacje przeciwko wybranym routerom MikroTik, szczególnie na Ukrainie.
Zaawansowane szpiegostwo poprzez naruszenie zabezpieczeń urządzenia brzegowego
Ta kampania oznacza znaczącą ewolucję w taktyce operacyjnej APT28. Po raz pierwszy grupa udowodniła, że potrafi przechwytywać DNS na dużą skalę, ułatwiając ataki AitM na połączenia TLS (Transport Layer Security).
Poprzez atakowanie urządzeń brzegowych, często mniej monitorowanych niż systemy korporacyjne, atakujący uzyskali wgląd w ruch sieciowy. To strategiczne podejście pozwoliło im zidentyfikować cele o wysokiej wartości i selektywnie skupić się na osobach lub organizacjach będących przedmiotem zainteresowania wywiadowczego.
Ocenia się, że operacja miała charakter oportunistyczny; początkowo zarzucono szeroką sieć, a następnie stopniowo zawężono cele w zależności od wartości przechwyconych danych.
Zakłócenia operacyjne i bieżące ryzyka
Złośliwa infrastruktura obsługująca FrostArmada została zdemontowana dzięki skoordynowanemu wysiłkowi Departamentu Sprawiedliwości USA, Federalnego Biura Śledczego (FBI) i partnerów międzynarodowych. Pomimo tych zakłóceń, zastosowane techniki wskazują na utrzymujące się zagrożenia związane z niezabezpieczonymi urządzeniami sieciowymi.
Chociaż kampania koncentrowała się głównie na gromadzeniu informacji wywiadowczych, wykorzystanie pozycjonowania AitM stwarza szersze zagrożenia. Taki dostęp może umożliwić dodatkowe złośliwe działania, w tym wdrażanie złośliwego oprogramowania lub ataki typu „odmowa usługi”, znacznie zwiększając potencjalny wpływ na organizacje będące celem ataku.
Wnioski: Sygnał ostrzegawczy dla bezpieczeństwa sieci
Kampania FrostArmada podkreśla kluczowe znaczenie zabezpieczania urządzeń brzegowych w środowiskach sieciowych. Wykorzystanie routerów i infrastruktury DNS zapewnia atakującym potężne i dyskretne metody inwigilacji, często z pominięciem tradycyjnych zabezpieczeń.
Zarówno organizacje, jak i osoby prywatne muszą priorytetowo traktować prawidłową konfigurację, terminowe stosowanie poprawek i ciągłe monitorowanie urządzeń sieciowych, aby ograniczyć ryzyko stwarzane przez tak zaawansowanych aktorów zagrożeń.
