APT28 Кампања напада ФростАрмаде

Софистицирана операција сајбер шпијунаже која се приписује групи претњи APT28 повезаној са Русијом, познатој и као Forest Blizzard, искористила је рањиву мрежну инфраструктуру за спровођење надзора великих размера. Активна најмање од маја 2025. године, кампања, под кодним називом FrostArmada, фокусирала се на компромитовање небезбедних MikroTik и TP-Link рутера, трансформишући их у злонамерне ресурсе под контролом нападача.

Ова операција је првенствено циљала кућне и уређаје за мале канцеларије (SOHO), користећи слабе конфигурације за манипулацију DNS подешавањима. На тај начин, нападачи су могли да пресретну и преусмере мрежни саобраћај, омогућавајући пасивно и углавном неоткривено прикупљање података.

Отмица ДНС-а: Претварање рутера у тихе алате за надзор

У сржи кампање лежи отмица DNS-а, техника која је омогућавала нападачима да преусмеравају легитимни саобраћај кроз злонамерну инфраструктуру. Када би рутер био угрожен, његова DNS подешавања су мењана тако да указују на сервере које контролише нападач. Ова манипулација је омогућила пресретање осетљивих података без потребе за интеракцијом корисника.

Када су корисници покушали да приступе циљаним доменима, њихови захтеви су неприметно преусмеравани на чворове типа „Нападач у средини“ (AitM). Ови чворови су хватали податке за аутентификацију, укључујући податке за пријаву, и преносили их назад нападачима. Процес је био веома тајновит, што је откривање чинило изузетно тешким.

Расподела ланца напада: Од експлоатације до крађе акредитива

Животни циклус напада пратио је структурирани редослед осмишљен да максимизира прикупљање података, а истовремено минимизира откривање:

• Почетно компромитовање SOHO рутера кроз рањивости или слабе конфигурације
• Неовлашћени администраторски приступ и измена DNS подешавања
• Преусмеравање DNS упита на злонамерне, актерима контролисане решаваче
• Пресретање корисничког саобраћаја путем AitM инфраструктуре
• Прикупљање и крађа акредитива, укључујући лозинке и OAuth токене

Ова метода је омогућила нападачима да прате покушаје пријављивања на платформе за е-пошту и веб сервисе, укључујући инстанце које укључују Microsoft Outlook на вебу и друге системе које не хостује Microsoft.

Глобални досег и стратешко циљање

Кампања се временом значајно проширила. Иако је почела у ограниченом капацитету у мају 2025. године, широко распрострањени напори експлоатације ескалирали су до почетка августа. На врхунцу у децембру 2025. године, примећено је више од 18.000 јединствених IP адреса у најмање 120 земаља које су комуницирале са инфраструктуром коју контролишу нападачи.

Примарни циљеви су укључивали:

• Владине институције као што су министарства спољних послова и агенције за спровођење закона
• Добављачи услуга е-поште и облака треће стране
• Организације широм Северне Африке, Централне Америке, Југоисточне Азије и Европе

Више од 200 организација и приближно 5.000 потрошачких уређаја је било погођено, што показује обим и домет операције.

Искоришћене рањивости и тактике инфраструктуре

Нападачи су искористили познате рањивости да би добили приступ мрежним уређајима. Приметно је да су рутери TP-Link WR841N искоришћени помоћу CVE-2023-50224, грешке у заобилажењу аутентификације која је омогућавала издвајање акредитива путем посебно креираних HTTP GET захтева.

Поред тога, идентификован је секундарни инфраструктурни кластер, одговоран за преусмеравање DNS саобраћаја са компромитованих рутера на удаљене сервере које контролишу нападачи. Овај кластер је такође спроводио циљане, интерактивне операције против одабраних MikroTik рутера, посебно у Украјини.

Напредна шпијунажа путем компромитовања edge уређаја

Ова кампања означава значајну еволуцију у оперативним тактикама APT28. По први пут, група је показала способност извођења DNS отмице у великим размерама како би олакшала AitM нападе на TLS (Transport Layer Security) везе.

Угрожавањем уређаја на рубу мреже, који се често мање надгледају од система предузећа, нападачи су стекли увид у мрежни саобраћај узводно. Ово стратешко позиционирање им је омогућило да идентификују циљеве високе вредности и селективно се фокусирају на појединце или организације од обавештајног интереса.

Операција се процењује као опортунистичке природе, у почетку бацајући широку мрежу и постепено сужавајући циљеве на основу вредности пресретнутих података.

Оперативни поремећаји и текући ризици

Злонамерна инфраструктура која подржава FrostArmada је уништена координисаним напорима у којима су учествовали Министарство правде САД, Федерални истражни биро и међународни партнери. Упркос овом поремећају, коришћене технике указују на сталне ризике повезане са необезбеђеним мрежним уређајима.

Иако се кампања првенствено фокусирала на прикупљање обавештајних података, коришћење AitM позиционирања представља шире претње. Такав приступ би могао да омогући додатне злонамерне активности, укључујући распоређивање злонамерног софтвера или нападе ускраћивања услуге, значајно повећавајући потенцијални утицај на циљане организације.

Закључак: Позив на буђење за безбедност мреже

Кампања FrostArmada истиче кључну важност обезбеђивања уређаја на рубу мреже унутар мрежних окружења. Искоришћавање рутера и DNS инфраструктуре пружа нападачима моћно и прикривено средство надзора, често заобилазећи традиционалне безбедносне контроле.

Организације и појединци морају дати приоритет правилној конфигурацији, благовременом ажурирању и континуираном праћењу мрежних уређаја како би ублажили ризике које представљају такви напредни актери претње.