Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Útočná kampaň FrostArmada v APT28

Útočná kampaň FrostArmada v APT28

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér, Phishing
Preložiť do:

Sofistikovaná kybernetická špionážna operácia pripisovaná s Ruskom napojenej skupine APT28, známej aj ako Forest Blizzard, využila zraniteľnú sieťovú infraštruktúru na vykonávanie rozsiahleho dohľadu. Kampaň s kódovým označením FrostArmada, ktorá prebieha minimálne od mája 2025, sa zameriavala na napadnutie nezabezpečených routerov MikroTik a TP-Link a ich premenu na škodlivé aktíva pod kontrolou útočníka.

Táto operácia sa primárne zameriavala na domáce a malé kancelárske (SOHO) zariadenia a zneužívala slabé konfigurácie na manipuláciu s nastaveniami DNS. Útočníci tak dokázali zachytiť a presmerovať sieťovú prevádzku, čo umožnilo pasívny a do značnej miery nezistiteľný zber údajov.

Únos DNS: Premena smerovačov na nástroje tichého sledovania

Jadrom kampane je únos DNS, technika, ktorá útočníkom umožňovala presmerovať legitímnu prevádzku cez škodlivú infraštruktúru. Po napadnutí smerovača boli jeho nastavenia DNS zmenené tak, aby smerovali na servery ovládané útočníkom. Táto manipulácia umožnila zachytenie citlivých údajov bez nutnosti akejkoľvek interakcie s používateľom.

Keď sa používatelia pokúšali získať prístup k cieľovým doménam, ich požiadavky boli ticho presmerované na uzly typu Attacker-in-the-Middle (AitM). Tieto uzly zachytávali autentifikačné údaje vrátane prihlasovacích údajov a odosielali ich späť útočníkom. Proces bol vysoko utajený, čo sťažovalo odhalenie.

Rozdelenie reťazca útokov: Od zneužitia po krádež prihlasovacích údajov

Životný cyklus útoku sa riadil štruktúrovanou postupnosťou navrhnutou tak, aby maximalizoval zber údajov a zároveň minimalizoval detekciu:

  • Počiatočné ohrozenie SOHO routerov prostredníctvom zraniteľností alebo slabých konfigurácií
  • Neoprávnený administrátorský prístup a úprava nastavení DNS
  • Presmerovanie DNS dotazov na škodlivé, actorom ovládané resolvery
  • Zachytávanie používateľskej prevádzky prostredníctvom infraštruktúry AitM
  • Zber a exfiltrácia prihlasovacích údajov vrátane hesiel a tokenov OAuth

Táto metóda umožnila útočníkom monitorovať pokusy o prihlásenie do e-mailových platforiem a webových služieb vrátane prípadov zahŕňajúcich Microsoft Outlook na webe a iné systémy, ktoré nie sú hostované spoločnosťou Microsoft.

Globálny dosah a strategické zacielenie

Kampaň sa časom výrazne rozšírila. Hoci sa začala v obmedzenej miere v máji 2025, rozsiahle úsilie o zneužívanie sa stupňovalo začiatkom augusta. Na vrchole v decembri 2025 bolo pozorovaných viac ako 18 000 unikátnych IP adries v najmenej 120 krajinách, ktoré komunikovali s infraštruktúrou kontrolovanou útočníkom.

Primárne ciele zahŕňali:

  • Vládne inštitúcie, ako sú ministerstvá zahraničných vecí a orgány činné v trestnom konaní
  • Poskytovatelia e-mailových a cloudových služieb tretích strán
  • Organizácie v Severnej Afrike, Strednej Amerike, Juhovýchodnej Ázii a Európe

Ovplyvnených bolo viac ako 200 organizácií a približne 5 000 spotrebiteľských zariadení, čo dokazuje rozsah a dosah operácie.

Zneužité zraniteľnosti a taktiky infraštruktúry

Útočníci využili známe zraniteľnosti na získanie prístupu k sieťovým zariadeniam. Je pozoruhodné, že routery TP-Link WR841N boli zneužité pomocou chyby CVE-2023-50224, ktorá obchádza autentifikáciu a umožňuje extrakciu poverení prostredníctvom špeciálne vytvorených požiadaviek HTTP GET.

Okrem toho bol identifikovaný sekundárny infraštruktúrny klaster zodpovedný za prenos DNS prevádzky z napadnutých routerov na vzdialené servery ovládané útočníkom. Tento klaster tiež vykonával cielené interaktívne operácie proti vybraným routerom MikroTik, najmä na Ukrajine.

Pokročilá špionáž prostredníctvom kompromitácie edge zariadenia

Táto kampaň predstavuje významný vývoj v operačných taktikách APT28. Skupina po prvýkrát preukázala schopnosť vykonávať rozsiahle útoky DNS, aby uľahčila útoky AitM proti pripojeniam TLS (Transport Layer Security).

Napadnutím zariadení na okraji siete, ktoré sú často menej monitorované ako podnikové systémy, získali útočníci prehľad o sieťovej prevádzke. Toto strategické umiestnenie im umožnilo identifikovať ciele s vysokou hodnotou a selektívne sa zamerať na jednotlivcov alebo organizácie, ktoré sú predmetom spravodajského záujmu.

Operácia sa hodnotí ako oportunistická, pričom spočiatku sa zameriava na širokú sieť a postupne sa zameriava na ciele na základe hodnoty zachytených údajov.

Prerušenie prevádzky a pretrvávajúce riziká

Škodlivá infraštruktúra podporujúca FrostArmadu bola odstránená vďaka koordinovanému úsiliu amerického ministerstva spravodlivosti, Federálneho úradu pre vyšetrovanie (FBI) a medzinárodných partnerov. Napriek tomuto narušeniu použité techniky poukazujú na pretrvávajúce riziká spojené s nezabezpečenými sieťovými zariadeniami.

Hoci sa kampaň primárne zamerala na zhromažďovanie spravodajských informácií, používanie určovania polohy pomocou AitM predstavuje širšie hrozby. Takýto prístup by mohol umožniť ďalšie škodlivé aktivity vrátane nasadenia škodlivého softvéru alebo útokov typu „donier služby“, čím by sa výrazne zvýšil potenciálny dopad na cieľové organizácie.

Záver: Budíček pre sieťovú bezpečnosť

Kampaň FrostArmada zdôrazňuje kritický význam zabezpečenia okrajových zariadení v sieťových prostrediach. Zneužívanie smerovačov a infraštruktúry DNS poskytuje útočníkom silný a nenápadný spôsob sledovania, ktorý často obchádza tradičné bezpečnostné kontroly.

Organizácie aj jednotlivci musia uprednostniť správnu konfiguráciu, včasné opravy a neustále monitorovanie sieťových zariadení, aby zmiernili riziká, ktoré predstavujú takíto pokročilí aktéri hrozieb.

Trendy

Najviac videné

Načítava...