Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) APT28 Kampanja napada FrostArmada

APT28 Kampanja napada FrostArmada

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema, Lažno predstavljanje
Prevedi v:

Sofisticirana operacija kibernetskega vohunjenja, ki jo pripisujejo z Rusijo povezani skupini za grožnje APT28, znani tudi kot Forest Blizzard, je izkoristila ranljivo omrežno infrastrukturo za izvajanje obsežnega nadzora. Kampanja z kodnim imenom FrostArmada, ki je aktivna vsaj od maja 2025, se je osredotočala na ogrožanje nezaščitenih usmerjevalnikov MikroTik in TP-Link ter jih pod nadzorom napadalcev spremenila v zlonamerna sredstva.

Ta operacija je bila namenjena predvsem domačim in majhnim pisarniškim (SOHO) napravam in je izkoriščala šibke konfiguracije za manipulacijo nastavitev DNS. S tem so napadalci lahko prestregli in preusmerili omrežni promet, kar je omogočilo pasivno in večinoma nezaznavno zbiranje podatkov.

Ugrabitev DNS-a: Spreminjanje usmerjevalnikov v orodja za tihi nadzor

V središču kampanje je ugrabitev DNS-a, tehnika, ki je napadalcem omogočala preusmerjanje legitimnega prometa prek zlonamerne infrastrukture. Ko je bil usmerjevalnik ogrožen, so bile njegove nastavitve DNS spremenjene tako, da so kazale na strežnike, ki jih nadzoruje napadalec. Ta manipulacija je omogočila prestrezanje občutljivih podatkov brez kakršne koli interakcije uporabnika.

Ko so uporabniki poskušali dostopati do ciljnih domen, so bile njihove zahteve tiho preusmerjene na vozlišča Attacker-in-the-Middle (AitM). Ta vozlišča so zajela podatke za preverjanje pristnosti, vključno s prijavnimi poverilnicami, in jih posredovala nazaj napadalcem. Postopek je bil zelo prikrit, zaradi česar je bilo odkrivanje izjemno težko.

Razčlenitev verige napadov: od izkoriščanja do kraje poverilnic

Življenjski cikel napada je sledil strukturiranemu zaporedju, zasnovanemu za maksimiranje zbiranja podatkov in hkrati zmanjšanje odkrivanja:

  • Začetna ogrožitev usmerjevalnikov SOHO zaradi ranljivosti ali šibkih konfiguracij
  • Nepooblaščen skrbniški dostop in spreminjanje nastavitev DNS
  • Preusmeritev poizvedb DNS na zlonamerne razreševalnike, ki jih nadzorujejo akterji
  • Prestrezanje uporabniškega prometa prek infrastrukture AitM
  • Pridobivanje in izsiljevanje poverilnic, vključno z gesli in žetoni OAuth

Ta metoda je napadalcem omogočila spremljanje poskusov prijave na e-poštne platforme in spletne storitve, vključno s primeri, ki vključujejo Microsoft Outlook v spletu in druge sisteme, ki jih ne gosti Microsoft.

Globalni doseg in strateško ciljanje

Kampanja se je sčasoma znatno razširila. Čeprav se je v omejeni meri začela maja 2025, so se obsežna izkoriščanja stopnjevala do začetka avgusta. Na vrhuncu decembra 2025 je bilo opaženih več kot 18.000 edinstvenih naslovov IP v vsaj 120 državah, ki so komunicirali z infrastrukturo, ki jo nadzorujejo napadalci.

Primarni cilji so bili:

  • Vladne institucije, kot so ministrstva za zunanje zadeve in organi pregona
  • Ponudniki e-pošte in storitev v oblaku tretjih oseb
  • Organizacije v Severni Afriki, Srednji Ameriki, Jugovzhodni Aziji in Evropi

Prizadetih je bilo več kot 200 organizacij in približno 5000 potrošniških naprav, kar dokazuje obseg in doseg operacije.

Izkoriščene ranljivosti in taktike infrastrukture

Napadalci so izkoristili znane ranljivosti za dostop do omrežnih naprav. Omeniti velja, da so usmerjevalnike TP-Link WR841N izkoriščali z uporabo CVE-2023-50224, napake za obhod preverjanja pristnosti, ki je omogočala pridobivanje poverilnic prek posebej oblikovanih zahtev HTTP GET.

Poleg tega je bil identificiran sekundarni infrastrukturni grozd, odgovoren za posredovanje prometa DNS iz ogroženih usmerjevalnikov na oddaljene strežnike, ki jih nadzorujejo napadalci. Ta grozd je izvajal tudi ciljno usmerjene, interaktivne operacije proti izbranim usmerjevalnikom MikroTik, zlasti v Ukrajini.

Napredno vohunjenje z ogroženimi napravami na robu sistema

Ta kampanja pomeni pomemben razvoj operativnih taktik APT28. Skupina je prvič pokazala sposobnost izvajanja ugrabitve DNS v velikem obsegu, da bi olajšala napade AitM na povezave TLS (Transport Layer Security).

Z ogrožanjem robnih naprav, ki so pogosto manj nadzorovane kot poslovni sistemi, so napadalci pridobili vpogled v omrežni promet. To strateško pozicioniranje jim je omogočilo prepoznavanje visokokakovostnih tarč in selektivno osredotočanje na posameznike ali organizacije, ki so obveščevalno zanimive.

Operacija je ocenjena kot oportunistična, saj sprva meče široko mrežo in postopoma oži cilje glede na vrednost prestreženih podatkov.

Motnje v delovanju in stalna tveganja

Zlonamerna infrastruktura, ki podpira FrostArmado, je bila uničena z usklajenim prizadevanjem ameriškega ministrstva za pravosodje, Zveznega preiskovalnega urada in mednarodnih partnerjev. Kljub tem motnjam uporabljene tehnike poudarjajo vztrajna tveganja, povezana z nezaščitenimi omrežnimi napravami.

Čeprav se je kampanja osredotočala predvsem na zbiranje obveščevalnih podatkov, uporaba pozicioniranja AitM predstavlja širše grožnje. Takšen dostop bi lahko omogočil dodatne zlonamerne dejavnosti, vključno z namestitvijo zlonamerne programske opreme ali napadi zavrnitve storitve, kar bi znatno povečalo potencialni vpliv na ciljne organizacije.

Zaključek: Poziv k prebujanju za omrežno varnost

Kampanja FrostArmada poudarja ključni pomen zavarovanja robnih naprav v omrežnih okoljih. Izkoriščanje usmerjevalnikov in infrastrukture DNS napadalcem zagotavlja močno in prikrito sredstvo nadzora, ki pogosto zaobide tradicionalne varnostne kontrole.

Organizacije in posamezniki morajo dati prednost pravilni konfiguraciji, pravočasnemu nameščanju popravkov in nenehnemu spremljanju omrežnih naprav, da bi ublažili tveganja, ki jih predstavljajo takšni napredni akterji grožnje.

V trendu

Najbolj gledan

Nalaganje...