Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Кампания атаки APT28 FrostArmada

Кампания атаки APT28 FrostArmada

К Mezo году в Расширенная постоянная угроза (APT), Вредоносное ПО, Фишинг году
Перевести на:

Сложная операция по кибершпионажу, приписываемая связанной с Россией группе угроз APT28, также известной как Forest Blizzard, использовала уязвимую сетевую инфраструктуру для проведения масштабного наблюдения. Активная как минимум с мая 2025 года, кампания под кодовым названием FrostArmada была направлена на компрометацию незащищенных маршрутизаторов MikroTik и TP-Link, превращая их в вредоносные устройства под контролем злоумышленников.

Эта операция была направлена в первую очередь на домашние устройства и устройства малых офисов (SOHO), используя уязвимости конфигурации для манипулирования настройками DNS. Таким образом, злоумышленники смогли перехватывать и перенаправлять сетевой трафик, обеспечивая пассивный и в значительной степени незаметный сбор данных.

Перехват DNS: превращение маршрутизаторов в инструменты скрытого наблюдения.

В основе этой кампании лежит перехват DNS-запросов — метод, позволявший злоумышленникам перенаправлять легитимный трафик через вредоносную инфраструктуру. После взлома маршрутизатора его DNS-настройки изменялись таким образом, чтобы указывать на серверы, контролируемые злоумышленниками. Эта манипуляция позволяла перехватывать конфиденциальные данные без какого-либо взаимодействия с пользователем.

Когда пользователи пытались получить доступ к целевым доменам, их запросы незаметно перенаправлялись на узлы типа «атакующий посередине» (AitM). Эти узлы перехватывали данные аутентификации, включая учетные данные для входа, и передавали их обратно злоумышленникам. Процесс был крайне скрытным, что делало обнаружение чрезвычайно сложным.

Анализ цепочки атак: от эксплуатации уязвимостей до кражи учетных данных.

Жизненный цикл атаки следовал структурированной последовательности, разработанной для максимизации сбора данных при минимизации обнаружения:

  • Первоначальная компрометация SOHO-маршрутизаторов через уязвимости или слабые конфигурации.
  • Несанкционированный административный доступ и изменение настроек DNS.
  • Перенаправление DNS-запросов на вредоносные, контролируемые злоумышленниками резолверы.
  • Перехват пользовательского трафика через инфраструктуру AitM
  • Сбор и утечка учетных данных, включая пароли и токены OAuth.

Этот метод позволял злоумышленникам отслеживать попытки входа в почтовые платформы и веб-сервисы, включая случаи использования Microsoft Outlook в веб-версии и других систем, не размещенных на серверах Microsoft.

Глобальный охват и стратегическое целевое воздействие

Кампания значительно расширилась со временем. Начавшись в ограниченном масштабе в мае 2025 года, к началу августа масштабные усилия по эксплуатации угроз резко возросли. На пике в декабре 2025 года было зафиксировано более 18 000 уникальных IP-адресов как минимум в 120 странах, взаимодействующих с инфраструктурой, контролируемой злоумышленниками.

К основным целевым показателям относились:

  • Государственные учреждения, такие как министерства иностранных дел и правоохранительные органы.
  • Сторонние поставщики услуг электронной почты и облачных сервисов
  • Организации в Северной Африке, Центральной Америке, Юго-Восточной Азии и Европе.

Масштаб и охват операции затронули более 200 организаций и около 5000 потребительских устройств.

Уязвимости, которыми пользуются злоумышленники, и тактика использования инфраструктуры.

Злоумышленники использовали известные уязвимости для получения доступа к сетевым устройствам. В частности, маршрутизаторы TP-Link WR841N были взломаны с использованием уязвимости CVE-2023-50224, позволяющей обойти аутентификацию и получить доступ к учетным данным с помощью специально сформированных HTTP GET-запросов.

Кроме того, был выявлен вторичный кластер инфраструктуры, отвечающий за ретрансляцию DNS-трафика с скомпрометированных маршрутизаторов на удаленные серверы, контролируемые злоумышленниками. Этот кластер также проводил целенаправленные интерактивные операции против отдельных маршрутизаторов MikroTik, в частности, в Украине.

Расширенный шпионаж посредством компрометации периферийных устройств.

Эта кампания знаменует собой значительный шаг вперед в оперативной тактике APT28. Впервые группа продемонстрировала способность осуществлять перехват DNS в больших масштабах для проведения атак типа «атака муравья» (AitM) против соединений, защищенных протоколом Transport Layer Security (TLS).

Взломав периферийные устройства, которые зачастую контролируются менее тщательно, чем корпоративные системы, злоумышленники получили доступ к информации о сетевом трафике. Такое стратегическое позиционирование позволило им выявлять особо важные цели и избирательно фокусироваться на отдельных лицах или организациях, представляющих интерес для разведки.

Операция носит, по оценке, ситуативный характер: первоначально она охватывает широкий круг целей, а затем постепенно сужается в зависимости от ценности перехваченных данных.

Операционные сбои и сохраняющиеся риски

В результате скоординированных действий Министерства юстиции США, Федерального бюро расследований и международных партнеров была ликвидирована вредоносная инфраструктура, поддерживающая FrostArmada. Несмотря на эту операцию, использованные методы указывают на сохраняющиеся риски, связанные с незащищенными сетевыми устройствами.

Хотя кампания в основном была сосредоточена на сборе разведывательной информации, использование позиционирования в рамках атаки типа «человек посередине» представляет более широкую угрозу. Такой доступ может позволить осуществлять дополнительные вредоносные действия, включая развертывание вредоносного ПО или атаки типа «отказ в обслуживании», что значительно увеличивает потенциальное воздействие на целевые организации.

Заключение: Тревожный сигнал для сетевой безопасности

Кампания FrostArmada подчеркивает критическую важность защиты периферийных устройств в сетевых средах. Эксплуатация маршрутизаторов и DNS-инфраструктуры предоставляет злоумышленникам мощное и скрытное средство слежки, часто обходящее традиционные средства контроля безопасности.

Как организациям, так и отдельным лицам необходимо уделять первостепенное внимание правильной настройке, своевременному обновлению и непрерывному мониторингу сетевых устройств для снижения рисков, создаваемых такими продвинутыми злоумышленниками.

В тренде

Forestrievic.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Безопасный просмотр веб-страниц требует постоянной бдительности. Мошеннические веб-сайты специально созданы для того, чтобы злоупотреблять доверием пользователей с помощью обманных методов, и одна...

Orionnero.co.in

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Проявление осторожности при просмотре веб-страниц больше не является желательным, а необходимым. Мошеннические веб-сайты становятся все более изощренными, часто используя обманные методы, чтобы...

Наиболее просматриваемые

Загрузка...