Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Fushata e Sulmit APT28 FrostArmada

Fushata e Sulmit APT28 FrostArmada

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware, Fishing
Përkthe në:

Një operacion i sofistikuar spiunazhi kibernetik që i atribuohet grupit të kërcënimeve të lidhura me Rusinë APT28, i njohur edhe si Forest Blizzard, ka shfrytëzuar infrastrukturën e rrjetit të cenueshme për të kryer mbikëqyrje në shkallë të gjerë. Aktive që të paktën që nga maji 2025, fushata, me emrin e koduar FrostArmada, u përqendrua në kompromentimin e routerëve të pasigurt MikroTik dhe TP-Link, duke i transformuar ato në asete dashakeqe nën kontrollin e sulmuesit.

Ky operacion shënjestroi kryesisht pajisjet e shtëpisë dhe të zyrave të vogla (SOHO), duke shfrytëzuar konfigurimet e dobëta për të manipuluar cilësimet e DNS-it. Duke vepruar kështu, sulmuesit ishin në gjendje të kapnin dhe ridrejtonin trafikun e rrjetit, duke mundësuar mbledhjen pasive dhe kryesisht të pazbulueshme të të dhënave.

Rrëmbimi i DNS-së: Shndërrimi i routerëve në mjete mbikëqyrjeje të heshtura

Në thelb të fushatës qëndron rrëmbimi i DNS-it, një teknikë që u lejonte sulmuesve të ridrejtonin trafikun legjitim përmes infrastrukturës keqdashëse. Pasi një router kompromentohej, cilësimet e tij DNS ndryshoheshin për të treguar serverat e kontrolluar nga sulmuesi. Ky manipulim mundësoi përgjimin e të dhënave të ndjeshme pa kërkuar ndonjë ndërveprim të përdoruesit.

Kur përdoruesit përpiqeshin të hynin në domenet e synuara, kërkesat e tyre ridrejtoheshin në heshtje te nyjet Attacker-in-the-Middle (AitM). Këto nyje kapnin të dhënat e vërtetimit, duke përfshirë kredencialet e hyrjes, dhe ia transmetonin ato sulmuesve. Procesi ishte shumë i fshehtë, duke e bërë zbulimin jashtëzakonisht të vështirë.

Ndarja e Zinxhirit të Sulmeve: Nga Shfrytëzimi te Vjedhja e Kredencialeve

Cikli jetësor i sulmit ndoqi një sekuencë të strukturuar të projektuar për të maksimizuar mbledhjen e të dhënave duke minimizuar zbulimin:

  • Kompromentimi fillestar i ruterëve SOHO përmes dobësive ose konfigurimeve të dobëta
  • Qasje e paautorizuar administrative dhe modifikim i cilësimeve të DNS-së
  • Ridrejtimi i pyetjeve DNS te zgjidhësit keqdashës, të kontrolluar nga aktorët
  • Ndërhyrja e trafikut të përdoruesve nëpërmjet infrastrukturës AitM
  • Mbledhja dhe nxjerrja e kredencialeve, duke përfshirë fjalëkalimet dhe tokenët OAuth

Kjo metodë u mundësoi sulmuesve të monitoronin përpjekjet e hyrjes në platformat e email-it dhe shërbimet në internet, duke përfshirë rastet që përfshijnë Microsoft Outlook në internet dhe sisteme të tjera që nuk janë të hostuara nga Microsoft.

Shtrirja Globale dhe Synimi Strategjik

Fushata u zgjerua ndjeshëm me kalimin e kohës. Ndërsa filloi me një kapacitet të kufizuar në maj 2025, përpjekjet e përhapura të shfrytëzimit u përshkallëzuan në fillim të gushtit. Në kulmin e saj në dhjetor 2025, u vunë re më shumë se 18,000 adresa unike IP në të paktën 120 vende që komunikonin me infrastrukturën e kontrolluar nga sulmuesit.

Objektivat kryesore përfshinin:

  • Institucionet qeveritare, siç janë ministritë e punëve të jashtme dhe agjencitë e zbatimit të ligjit
  • Ofruesit e shërbimeve të email-it dhe cloud-it të palëve të treta
  • Organizata në të gjithë Afrikën e Veriut, Amerikën Qendrore, Azinë Juglindore dhe Evropën

Më shumë se 200 organizata dhe afërsisht 5,000 pajisje konsumatorësh u prekën, duke demonstruar shkallën dhe shtrirjen e operacionit.

Dobësitë e Shfrytëzuara dhe Taktikat e Infrastrukturës

Sulmuesit shfrytëzuan dobësi të njohura për të fituar akses në pajisjet e rrjetit. Veçanërisht, routerët TP-Link WR841N u shfrytëzuan duke përdorur CVE-2023-50224, një defekt anashkalimi i vërtetimit që lejonte nxjerrjen e kredencialeve nëpërmjet kërkesave të hartuara posaçërisht për HTTP GET.

Për më tepër, u identifikua një klaster infrastrukture dytësore, përgjegjës për transmetimin e trafikut DNS nga routerat e kompromentuar në serverat e kontrolluar nga sulmuesit në distancë. Ky klaster gjithashtu kreu operacione të synuara dhe interaktive kundër routerave të zgjedhur MikroTik, veçanërisht në Ukrainë.

Spiunazh i Avancuar përmes Kompromentimit të Pajisjeve Edge

Kjo fushatë shënon një evolucion të rëndësishëm në taktikat operacionale të APT28. Për herë të parë, grupi ka demonstruar aftësinë për të kryer rrëmbim DNS në shkallë të gjerë për të lehtësuar sulmet AitM kundër lidhjeve të Transport Layer Security (TLS).

Duke kompromentuar pajisjet në skaj, shpesh më pak të monitoruara se sistemet e ndërmarrjeve, sulmuesit fituan dukshmëri në trafikun e rrjetit. Ky pozicionim strategjik u lejoi atyre të identifikonin objektiva me vlerë të lartë dhe të përqendroheshin në mënyrë selektive te individët ose organizatat me interes të inteligjencës.

Operacioni vlerësohet të jetë oportunist në natyrë, fillimisht duke hedhur një rrjetë të gjerë dhe duke ngushtuar progresivisht objektivat bazuar në vlerën e të dhënave të përgjuara.

Ndërprerje Operacionale dhe Rreziqe të Vazhdueshme

Infrastruktura keqdashëse që mbështet FrostArmada është çmontuar nëpërmjet një përpjekjeje të koordinuar që përfshin Departamentin e Drejtësisë të SHBA-së, Byronë Federale të Hetimit dhe partnerët ndërkombëtarë. Pavarësisht këtij përçarjeje, teknikat e përdorura nxjerrin në pah rreziqet e vazhdueshme që lidhen me pajisjet e rrjetit të pasigurta.

Ndërsa fushata është përqendruar kryesisht në mbledhjen e inteligjencës, përdorimi i pozicionimit AitM paraqet kërcënime më të gjera. Një akses i tillë mund të mundësojë aktivitete të tjera dashakeqe, duke përfshirë vendosjen e programeve keqdashëse ose sulmet e mohimit të shërbimit, duke rritur ndjeshëm ndikimin e mundshëm në organizatat e synuara.

Përfundim: Një thirrje zgjimi për sigurinë e rrjetit

Fushata FrostArmada nënvizon rëndësinë kritike të sigurimit të pajisjeve në skajet e rrjetit. Shfrytëzimi i routerëve dhe infrastrukturës DNS u ofron sulmuesve një mjet të fuqishëm dhe të fshehtë mbikëqyrjeje, shpesh duke anashkaluar kontrollet tradicionale të sigurisë.

Organizatat dhe individët njësoj duhet t'i japin përparësi konfigurimit të duhur, rregullimit në kohë të përditësimeve dhe monitorimit të vazhdueshëm të pajisjeve të rrjetit për të zbutur rreziqet që paraqesin aktorë të tillë kërcënimesh të avancuara.

Në trend

Më e shikuara

Po ngarkohet...