Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Campania de atac APT28 FrostArmada

Campania de atac APT28 FrostArmada

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware, phishing
Tradu in:

O operațiune sofisticată de spionaj cibernetic atribuită grupării de amenințări APT28, legate de Rusia, cunoscută și sub numele de Forest Blizzard, a valorificat infrastructura de rețea vulnerabilă pentru a efectua supraveghere la scară largă. Activă cel puțin din mai 2025, campania, cu numele de cod FrostArmada, s-a concentrat pe compromiterea routerelor nesigure MikroTik și TP-Link, transformându-le în active rău intenționate aflate sub controlul atacatorilor.

Această operațiune a vizat în principal dispozitivele de acasă și de la birourile mici (SOHO), exploatând configurații slabe pentru a manipula setările DNS. Procedând astfel, atacatorii au reușit să intercepteze și să redirecționeze traficul de rețea, permițând colectarea pasivă și în mare parte nedetectabilă a datelor.

Deturnarea DNS: Transformarea routerelor în instrumente de supraveghere silențioasă

În centrul campaniei se află deturnarea DNS, o tehnică ce permitea atacatorilor să redirecționeze traficul legitim printr-o infrastructură malițioasă. Odată ce un router era compromis, setările sale DNS erau modificate pentru a indica servere controlate de atacatori. Această manipulare permitea interceptarea datelor sensibile fără a fi necesară nicio interacțiune a utilizatorului.

Când utilizatorii încercau să acceseze domeniile vizate, solicitările lor erau redirecționate silențios către nodurile Attacker-in-the-Middle (AitM). Aceste noduri captau date de autentificare, inclusiv credențialele de conectare, și le transmiteau înapoi atacatorilor. Procesul era extrem de secret, ceea ce făcea detectarea extrem de dificilă.

Defalcarea lanțului de atac: de la exploatare la furtul de acreditări

Ciclul de viață al atacului a urmat o secvență structurată concepută pentru a maximiza colectarea datelor, minimizând în același timp detectarea:

  • Compromiterea inițială a routerelor SOHO din cauza vulnerabilităților sau configurațiilor slabe
  • Acces administrativ neautorizat și modificarea setărilor DNS
  • Redirecționarea interogărilor DNS către rezolveri controlați de actori malițioși
  • Interceptarea traficului utilizatorilor prin infrastructura AitM
  • Recoltarea și exfiltrarea acreditărilor, inclusiv parole și token-uri OAuth

Această metodă a permis atacatorilor să monitorizeze încercările de conectare la platformele de e-mail și serviciile web, inclusiv cazurile care implică Microsoft Outlook pe web și alte sisteme care nu sunt găzduite de Microsoft.

Acoperire globală și direcționare strategică

Campania s-a extins semnificativ în timp. Deși a început într-o formă limitată în mai 2025, eforturile de exploatare pe scară largă s-au intensificat până la începutul lunii august. În punctul culminant, în decembrie 2025, au fost observate peste 18.000 de adrese IP unice din cel puțin 120 de țări comunicând cu infrastructura controlată de atacatori.

Obiectivele principale au inclus:

  • Instituții guvernamentale precum ministerele afacerilor externe și agențiile de aplicare a legii
  • Furnizori terți de servicii de e-mail și cloud
  • Organizații din Africa de Nord, America Centrală, Asia de Sud-Est și Europa

Peste 200 de organizații și aproximativ 5.000 de dispozitive de larg consum au fost afectate, demonstrând amploarea și acoperirea operațiunii.

Vulnerabilități exploatate și tactici de infrastructură

Atacatorii au folosit vulnerabilități cunoscute pentru a obține acces la dispozitivele de rețea. În special, routerele TP-Link WR841N au fost exploatate folosind CVE-2023-50224, o eroare de ocolire a autentificării care permitea extragerea credențialelor prin intermediul unor cereri HTTP GET special concepute.

În plus, a fost identificat un cluster de infrastructură secundară, responsabil pentru retransmiterea traficului DNS de la routerele compromise către servere controlate de atacatori la distanță. Acest cluster a efectuat, de asemenea, operațiuni interactive direcționate împotriva anumitor routere MikroTik, în special în Ucraina.

Spionaj avansat prin compromiterea dispozitivelor Edge

Această campanie marchează o evoluție semnificativă în tacticile operaționale ale APT28. Pentru prima dată, grupul a demonstrat capacitatea de a efectua deturnări DNS la scară largă pentru a facilita atacurile AitM împotriva conexiunilor Transport Layer Security (TLS).

Prin compromiterea dispozitivelor de la marginea rețelei, adesea mai puțin monitorizate decât sistemele întreprinderilor, atacatorii au obținut vizibilitate în amonte asupra traficului de rețea. Această poziționare strategică le-a permis să identifice ținte de mare valoare și să se concentreze selectiv asupra persoanelor sau organizațiilor de interes din domeniul serviciilor de informații.

Operațiunea este evaluată ca fiind oportunistă prin natura sa, vizând inițial o rețea largă și restrângând progresiv țintele în funcție de valoarea datelor interceptate.

Întreruperea operațională și riscurile continue

Infrastructura malițioasă care susținea FrostArmada a fost demontată printr-un efort coordonat care a implicat Departamentul de Justiție al SUA, Biroul Federal de Investigații și parteneri internaționali. În ciuda acestei perturbări, tehnicile utilizate evidențiază riscurile persistente asociate cu dispozitivele de rețea negarantate.

Deși campania s-a concentrat în principal pe colectarea de informații, utilizarea poziționării AitM prezintă amenințări mai ample. Un astfel de acces ar putea permite activități rău intenționate suplimentare, inclusiv implementarea de programe malware sau atacuri de tip denial-of-service, crescând semnificativ impactul potențial asupra organizațiilor vizate.

Concluzie: Un semnal de alarmă pentru securitatea rețelei

Campania FrostArmada subliniază importanța critică a securizării dispozitivelor edge în mediile de rețea. Exploatarea routerelor și a infrastructurii DNS oferă atacatorilor mijloace puternice și discrete de supraveghere, ocolind adesea controalele de securitate tradiționale.

Atât organizațiile, cât și persoanele fizice trebuie să acorde prioritate configurării corecte, aplicării la timp a patch-urilor și monitorizării continue a dispozitivelor de rețea pentru a atenua riscurile reprezentate de astfel de actori amenințători avansați.

Trending

Cele mai văzute

Se încarcă...