APT28 ఫ్రాస్ట్ ఆర్మాడా దాడి ప్రచారం

రష్యాతో సంబంధం ఉన్న APT28 (ఫారెస్ట్ బ్లిజార్డ్ అని కూడా పిలుస్తారు) అనే ముప్పు సమూహానికి ఆపాదించబడిన ఒక అధునాతన సైబర్ గూఢచర్య ఆపరేషన్, భారీ ఎత్తున నిఘా పెట్టడానికి బలహీనమైన నెట్‌వర్క్ మౌలిక సదుపాయాలను ఉపయోగించుకుంది. కనీసం మే 2025 నుండి చురుకుగా ఉన్న ఈ దాడి, ఫ్రాస్ట్‌ఆర్మాడా అనే సంకేతనామంతో పిలువబడుతూ, అసురక్షితమైన మైక్రోటిక్ మరియు TP-లింక్ రౌటర్లను హ్యాక్ చేసి, వాటిని దాడి చేసేవారి నియంత్రణలో ఉండే హానికరమైన ఆస్తులుగా మార్చడంపై దృష్టి సారించింది.

ఈ ఆపరేషన్ ప్రధానంగా గృహ మరియు చిన్న కార్యాలయ (SOHO) పరికరాలను లక్ష్యంగా చేసుకుంది, DNS సెట్టింగ్‌లను మార్చడానికి బలహీనమైన కాన్ఫిగరేషన్‌లను ఉపయోగించుకుంది. అలా చేయడం ద్వారా, దాడి చేసేవారు నెట్‌వర్క్ ట్రాఫిక్‌ను అడ్డగించి, దారి మళ్లించగలిగారు, తద్వారా నిష్క్రియాత్మకంగా మరియు చాలావరకు గుర్తించలేని విధంగా డేటాను సేకరించడానికి వీలు కలిగింది.

DNS హైజాకింగ్: రౌటర్లను నిశ్శబ్ద నిఘా సాధనాలుగా మార్చడం

ఈ దాడికి మూలం DNS హైజాకింగ్. ఈ పద్ధతి ద్వారా దాడి చేసేవారు చట్టబద్ధమైన ట్రాఫిక్‌ను హానికరమైన మౌలిక సదుపాయాల ద్వారా మళ్లించగలిగారు. ఒకసారి రౌటర్‌ను హ్యాక్ చేసిన తర్వాత, దాడి చేసేవారి నియంత్రణలో ఉన్న సర్వర్‌ల వైపు మళ్లించేలా దాని DNS సెట్టింగ్‌లను మార్చారు. ఈ తారుమారు, వినియోగదారుల ప్రమేయం ఏమాత్రం అవసరం లేకుండానే సున్నితమైన డేటాను అడ్డగించడానికి వీలు కల్పించింది.

వినియోగదారులు లక్షిత డొమైన్‌లను యాక్సెస్ చేయడానికి ప్రయత్నించినప్పుడు, వారి అభ్యర్థనలు నిశ్శబ్దంగా అటాకర్-ఇన్-ది-మిడిల్ (AitM) నోడ్‌లకు మళ్లించబడ్డాయి. ఈ నోడ్‌లు లాగిన్ ఆధారాలతో సహా ప్రామాణీకరణ డేటాను సంగ్రహించి, దానిని తిరిగి దాడి చేసేవారికి పంపాయి. ఈ ప్రక్రియ అత్యంత రహస్యంగా ఉండటంతో, దీనిని గుర్తించడం చాలా కష్టమైంది.

దాడి గొలుసు విశ్లేషణ: దోపిడీ నుండి ఆధారాల దొంగతనం వరకు

పట్టుబడటాన్ని తగ్గించుకుంటూ, డేటా సేకరణను గరిష్ఠ స్థాయికి పెంచేలా రూపొందించిన ఒక క్రమబద్ధమైన పద్ధతిలో దాడి జరిగింది:

• దుర్బలత్వాలు లేదా బలహీనమైన కాన్ఫిగరేషన్‌ల ద్వారా SOHO రౌటర్‌ల ప్రారంభ రాజీ
• అనధికారిక పరిపాలనా యాక్సెస్ మరియు DNS సెట్టింగ్‌ల సవరణ
• DNS ప్రశ్నలను హానికరమైన, హ్యాకర్-నియంత్రిత రిజాల్వర్‌లకు మళ్లించడం
• AitM మౌలిక సదుపాయాల ద్వారా వినియోగదారు ట్రాఫిక్‌ను అడ్డగించడం
• పాస్‌వర్డ్‌లు మరియు OAuth టోకెన్‌లతో సహా ఆధారాలను సేకరించడం మరియు బయటకు తరలించడం

ఈ పద్ధతి, వెబ్‌లోని మైక్రోసాఫ్ట్ ఔట్‌లుక్ మరియు మైక్రోసాఫ్ట్ హోస్ట్ చేయని ఇతర సిస్టమ్‌లతో సహా, ఇమెయిల్ ప్లాట్‌ఫారమ్‌లు మరియు వెబ్ సేవలకు జరిగే లాగిన్ ప్రయత్నాలను పర్యవేక్షించడానికి దాడి చేసేవారికి వీలు కల్పించింది.

ప్రపంచవ్యాప్త విస్తరణ మరియు వ్యూహాత్మక లక్ష్య నిర్దేశం

ఈ దాడి కాలక్రమేణా గణనీయంగా విస్తరించింది. ఇది మే 2025లో పరిమిత స్థాయిలో ప్రారంభమైనప్పటికీ, ఆగస్టు ప్రారంభం నాటికి విస్తృతమైన దోపిడీ ప్రయత్నాలు తీవ్రమయ్యాయి. డిసెంబర్ 2025లో ఇది గరిష్ట స్థాయికి చేరుకున్నప్పుడు, కనీసం 120 దేశాలలో 18,000 కంటే ఎక్కువ ప్రత్యేకమైన IP చిరునామాలు దాడి చేసేవారి నియంత్రణలో ఉన్న మౌలిక సదుపాయాలతో సంభాషిస్తున్నట్లు గమనించబడింది.

ప్రాథమిక లక్ష్యాలు:

• విదేశీ వ్యవహారాల మంత్రిత్వ శాఖలు మరియు చట్ట అమలు సంస్థల వంటి ప్రభుత్వ సంస్థలు
• థర్డ్-పార్టీ ఇమెయిల్ మరియు క్లౌడ్ సర్వీస్ ప్రొవైడర్లు
• ఉత్తర ఆఫ్రికా, మధ్య అమెరికా, ఆగ్నేయాసియా మరియు ఐరోపాలోని సంస్థలు

200కు పైగా సంస్థలు మరియు సుమారు 5,000 వినియోగదారు పరికరాలు ప్రభావితమయ్యాయి, ఇది ఆ ఆపరేషన్ యొక్క స్థాయిని మరియు విస్తృతిని తెలియజేస్తుంది.

దుర్వినియోగం చేయబడిన బలహీనతలు మరియు మౌలిక సదుపాయాల వ్యూహాలు

దాడి చేసినవారు నెట్‌వర్క్ పరికరాలకు ప్రవేశం పొందడానికి, తెలిసిన బలహీనతలను ఉపయోగించుకున్నారు. ముఖ్యంగా, ప్రత్యేకంగా రూపొందించిన HTTP GET అభ్యర్థనల ద్వారా ఆధారాలను సంగ్రహించడానికి అనుమతించే CVE-2023-50224 అనే ప్రామాణీకరణ బైపాస్ లోపాన్ని ఉపయోగించి TP-Link WR841N రౌటర్లను దుర్వినియోగం చేశారు.

అదనంగా, హ్యాక్ చేయబడిన రౌటర్ల నుండి రిమోట్ అటాకర్-నియంత్రిత సర్వర్‌లకు DNS ట్రాఫిక్‌ను రిలే చేయడానికి బాధ్యత వహించే ఒక ద్వితీయ మౌలిక సదుపాయాల క్లస్టర్‌ను గుర్తించారు. ఈ క్లస్టర్, ముఖ్యంగా ఉక్రెయిన్‌లో, ఎంపిక చేసిన కొన్ని మైక్రోటిక్ రౌటర్లపై లక్షిత, ఇంటరాక్టివ్ ఆపరేషన్లను కూడా నిర్వహించింది.

ఎడ్జ్ డివైస్ రాజీ ద్వారా అధునాతన గూఢచర్యం

ఈ ప్రచారం APT28 యొక్క కార్యాచరణ వ్యూహాలలో ఒక ముఖ్యమైన పరిణామాన్ని సూచిస్తుంది. ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ (TLS) కనెక్షన్‌లపై AitM దాడులను సులభతరం చేయడానికి, పెద్ద ఎత్తున DNS హైజాకింగ్‌ను నిర్వహించగల సామర్థ్యాన్ని ఈ బృందం మొదటిసారిగా ప్రదర్శించింది.

ఎంటర్‌ప్రైజ్ సిస్టమ్‌ల కంటే తరచుగా తక్కువ పర్యవేక్షణలో ఉండే ఎడ్జ్ డివైజ్‌లను హ్యాక్ చేయడం ద్వారా, దాడి చేసేవారు నెట్‌వర్క్ ట్రాఫిక్‌పై అప్‌స్ట్రీమ్ విజిబిలిటీని పొందారు. ఈ వ్యూహాత్మక స్థానం, విలువైన లక్ష్యాలను గుర్తించడానికి మరియు గూఢచర్య ఆసక్తి ఉన్న వ్యక్తులు లేదా సంస్థలపై ప్రత్యేకంగా దృష్టి పెట్టడానికి వారికి వీలు కల్పించింది.

ఈ ఆపరేషన్ అవకాశవాద స్వభావం కలదని అంచనా వేయబడింది; ఇది మొదట విస్తృతమైన వల వేసి, అడ్డగించిన డేటా విలువ ఆధారంగా క్రమంగా లక్ష్యాలను తగ్గిస్తుంది.

కార్యాచరణ అంతరాయం మరియు కొనసాగుతున్న నష్టాలు

అమెరికా న్యాయ శాఖ, ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్ మరియు అంతర్జాతీయ భాగస్వాముల సమన్వయంతో, ఫ్రాస్ట్‌ఆర్మాడాకు మద్దతునిస్తున్న హానికరమైన మౌలిక సదుపాయాలను నిర్మూలించడం జరిగింది. ఈ అంతరాయం కలిగినప్పటికీ, ఉపయోగించిన పద్ధతులు అసురక్షిత నెట్‌వర్క్ పరికరాలతో ముడిపడి ఉన్న నిరంతర ప్రమాదాలను స్పష్టం చేస్తున్నాయి.

ఈ ప్రచారం ప్రధానంగా గూఢచార సేకరణపై దృష్టి సారించినప్పటికీ, AitM పొజిషనింగ్ వాడకం విస్తృతమైన ముప్పులను కలిగిస్తుంది. ఇటువంటి యాక్సెస్, మాల్వేర్ విస్తరణ లేదా డినయల్-ఆఫ్-సర్వీస్ దాడుల వంటి అదనపు హానికర కార్యకలాపాలకు వీలు కల్పించి, లక్ష్యంగా చేసుకున్న సంస్థలపై సంభావ్య ప్రభావాన్ని గణనీయంగా పెంచుతుంది.

ముగింపు: నెట్‌వర్క్ భద్రతకు ఒక మేల్కొలుపు

ఫ్రాస్ట్ఆర్మాడా దాడి, నెట్‌వర్క్ పరిసరాలలో ఎడ్జ్ పరికరాలను సురక్షితంగా ఉంచడం యొక్క కీలక ప్రాముఖ్యతను నొక్కి చెబుతోంది. రౌటర్లు మరియు DNS మౌలిక సదుపాయాలను దుర్వినియోగం చేయడం ద్వారా, దాడి చేసేవారికి సాంప్రదాయ భద్రతా నియంత్రణలను తరచుగా దాటవేస్తూ, శక్తివంతమైన మరియు రహస్యమైన నిఘా మార్గం లభిస్తుంది.

అటువంటి అధునాతన ముప్పు కారకాల వల్ల కలిగే ప్రమాదాలను తగ్గించడానికి, సంస్థలు మరియు వ్యక్తులు ఇద్దరూ నెట్‌వర్క్ పరికరాల సరైన కాన్ఫిగరేషన్, సకాలంలో ప్యాచ్‌లను వర్తింపజేయడం మరియు నిరంతర పర్యవేక్షణకు ప్రాధాన్యత ఇవ్వాలి.