แคมเปญโจมตี FrostArmada ของ APT28

ปฏิบัติการจารกรรมทางไซเบอร์ที่ซับซ้อน ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มภัยคุกคาม APT28 ที่เชื่อมโยงกับรัสเซีย หรือที่รู้จักกันในชื่อ Forest Blizzard ได้ใช้ประโยชน์จากโครงสร้างพื้นฐานเครือข่ายที่เปราะบางเพื่อทำการสอดแนมในวงกว้าง ปฏิบัติการนี้เริ่มดำเนินการมาอย่างน้อยตั้งแต่เดือนพฤษภาคม 2025 โดยใช้ชื่อรหัสว่า FrostArmada มุ่งเน้นไปที่การเจาะระบบเราเตอร์ MikroTik และ TP-Link ที่ไม่ปลอดภัย เปลี่ยนเราเตอร์เหล่านั้นให้กลายเป็นสินทรัพย์ที่เป็นอันตรายภายใต้การควบคุมของผู้โจมตี

ปฏิบัติการนี้มุ่งเป้าไปที่อุปกรณ์ในบ้านและสำนักงานขนาดเล็ก (SOHO) เป็นหลัก โดยใช้ประโยชน์จากการตั้งค่าที่อ่อนแอเพื่อเปลี่ยนแปลงการตั้งค่า DNS ด้วยวิธีนี้ ผู้โจมตีสามารถดักจับและเปลี่ยนเส้นทางการรับส่งข้อมูลเครือข่าย ทำให้สามารถรวบรวมข้อมูลได้อย่างแนบเนียนและตรวจจับได้ยาก

การโจรกรรม DNS: เปลี่ยนเราเตอร์ให้เป็นเครื่องมือสอดแนมเงียบๆ

หัวใจสำคัญของแคมเปญนี้คือการโจรกรรม DNS ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลที่ถูกต้องผ่านโครงสร้างพื้นฐานที่เป็นอันตรายได้ เมื่อเราเตอร์ถูกเจาะระบบแล้ว การตั้งค่า DNS จะถูกเปลี่ยนแปลงให้ชี้ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม การเปลี่ยนแปลงนี้ทำให้สามารถดักจับข้อมูลที่ละเอียดอ่อนได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

เมื่อผู้ใช้พยายามเข้าถึงโดเมนเป้าหมาย คำขอของพวกเขาจะถูกส่งต่อไปยังโหนดผู้โจมตีตรงกลาง (Attacker-in-the-Middle หรือ AitM) โดยไม่แจ้งให้ทราบล่วงหน้า โหนดเหล่านี้จะดักจับข้อมูลการตรวจสอบสิทธิ์ รวมถึงข้อมูลประจำตัวในการเข้าสู่ระบบ และส่งกลับไปยังผู้โจมตี กระบวนการนี้เป็นความลับอย่างยิ่ง ทำให้การตรวจจับทำได้ยากมาก

การวิเคราะห์ห่วงโซ่การโจมตี: จากการใช้ช่องโหว่ไปจนถึงการขโมยข้อมูลประจำตัว

วงจรการโจมตีเป็นไปตามลำดับที่มีโครงสร้าง ซึ่งออกแบบมาเพื่อเพิ่มประสิทธิภาพในการรวบรวมข้อมูล ในขณะเดียวกันก็ลดโอกาสในการตรวจจับให้น้อยที่สุด:

• การถูกโจมตีเบื้องต้นของเราเตอร์ SOHO ผ่านช่องโหว่หรือการตั้งค่าที่ไม่รัดกุม
• การเข้าถึงระดับผู้ดูแลระบบและการแก้ไขการตั้งค่า DNS โดยไม่ได้รับอนุญาต
• การเปลี่ยนเส้นทางการสอบถาม DNS ไปยังตัวแก้ไข DNS ที่เป็นอันตรายซึ่งถูกควบคุมโดยผู้ไม่ประสงค์ดี
• การดักจับข้อมูลการใช้งานของผู้ใช้ผ่านโครงสร้างพื้นฐานของ AitM
• การเก็บรวบรวมและขโมยข้อมูลประจำตัว รวมถึงรหัสผ่านและโทเค็น OAuth

วิธีการนี้ทำให้ผู้โจมตีสามารถตรวจสอบความพยายามในการเข้าสู่ระบบแพลตฟอร์มอีเมลและบริการเว็บต่างๆ รวมถึงกรณีที่เกี่ยวข้องกับ Microsoft Outlook บนเว็บและระบบอื่นๆ ที่ไม่ได้ให้บริการโดย Microsoft

การเข้าถึงทั่วโลกและการกำหนดเป้าหมายเชิงกลยุทธ์

แคมเปญดังกล่าวขยายตัวอย่างมากเมื่อเวลาผ่านไป แม้ว่าจะเริ่มต้นในขอบเขตจำกัดในเดือนพฤษภาคม 2025 แต่ความพยายามในการโจมตีในวงกว้างก็ทวีความรุนแรงขึ้นในช่วงต้นเดือนสิงหาคม และในช่วงจุดสูงสุดในเดือนธันวาคม 2025 พบว่ามีที่อยู่ IP ที่ไม่ซ้ำกันมากกว่า 18,000 รายการในอย่างน้อย 120 ประเทศที่ติดต่อสื่อสารกับโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่

เป้าหมายหลักได้แก่:

• สถาบันของรัฐ เช่น กระทรวงการต่างประเทศและหน่วยงานบังคับใช้กฎหมาย
• ผู้ให้บริการอีเมลและบริการคลาวด์จากภายนอก
• องค์กรต่างๆ ทั่วแอฟริกาเหนือ อเมริกากลาง เอเชียตะวันออกเฉียงใต้ และยุโรป

องค์กรมากกว่า 200 แห่งและอุปกรณ์ของผู้บริโภคประมาณ 5,000 เครื่องได้รับผลกระทบ ซึ่งแสดงให้เห็นถึงขนาดและขอบเขตของการปฏิบัติการนี้

ช่องโหว่ที่ถูกใช้ประโยชน์และกลยุทธ์ด้านโครงสร้างพื้นฐาน

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีอยู่แล้วเพื่อเข้าถึงอุปกรณ์เครือข่าย โดยเฉพาะอย่างยิ่ง เราเตอร์ TP-Link WR841N ถูกโจมตีโดยใช้ช่องโหว่ CVE-2023-50224 ซึ่งเป็นช่องโหว่ในการข้ามการตรวจสอบสิทธิ์ที่อนุญาตให้ดึงข้อมูลประจำตัวผ่านคำขอ HTTP GET ที่สร้างขึ้นเป็นพิเศษ

นอกจากนี้ ยังพบกลุ่มโครงสร้างพื้นฐานรองอีกกลุ่มหนึ่ง ซึ่งทำหน้าที่ส่งต่อทราฟฟิก DNS จากเราเตอร์ที่ถูกบุกรุกไปยังเซิร์ฟเวอร์ระยะไกลที่ผู้โจมตีควบคุมอยู่ กลุ่มนี้ยังดำเนินการโจมตีแบบโต้ตอบโดยมุ่งเป้าหมายไปที่เราเตอร์ MikroTik บางรุ่น โดยเฉพาะในประเทศยูเครน

การจารกรรมขั้นสูงผ่านการเจาะระบบอุปกรณ์ปลายทาง

แคมเปญนี้แสดงให้เห็นถึงวิวัฒนาการที่สำคัญในกลยุทธ์การปฏิบัติการของ APT28 เป็นครั้งแรกที่กลุ่มนี้ได้แสดงให้เห็นถึงความสามารถในการโจรกรรม DNS ในวงกว้างเพื่ออำนวยความสะดวกในการโจมตี AitM ต่อการเชื่อมต่อ Transport Layer Security (TLS)

ด้วยการเจาะระบบอุปกรณ์ปลายทาง ซึ่งมักได้รับการตรวจสอบน้อยกว่าระบบขององค์กร ผู้โจมตีจึงสามารถมองเห็นข้อมูลการรับส่งข้อมูลในเครือข่ายได้ตั้งแต่ต้นทางจนถึงปลายทาง การวางตำแหน่งเชิงกลยุทธ์นี้ทำให้พวกเขาสามารถระบุเป้าหมายที่มีมูลค่าสูงและเลือกเป้าหมายที่เฉพาะเจาะจงสำหรับบุคคลหรือองค์กรที่พวกเขาสนใจในด้านการสืบราชการลับได้

ปฏิบัติการนี้ได้รับการประเมินว่ามีลักษณะเป็นการฉวยโอกาส โดยเริ่มแรกจะค้นหาในวงกว้างก่อน แล้วค่อยๆ จำกัดเป้าหมายให้แคบลงตามคุณค่าของข้อมูลที่ดักจับได้

การหยุดชะงักในการดำเนินงานและความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่อง

โครงสร้างพื้นฐานที่เป็นอันตรายซึ่งสนับสนุน FrostArmada ได้ถูกทำลายลงแล้วด้วยความร่วมมือของกระทรวงยุติธรรมสหรัฐฯ สำนักงานสอบสวนกลาง (FBI) และพันธมิตรระหว่างประเทศ แม้จะมีการทำลายล้างนี้แล้ว แต่เทคนิคที่ใช้ก็เน้นให้เห็นถึงความเสี่ยงที่ยังคงมีอยู่ซึ่งเกี่ยวข้องกับอุปกรณ์เครือข่ายที่ไม่ปลอดภัย

แม้ว่าการรณรงค์นี้จะมุ่งเน้นไปที่การรวบรวมข้อมูลข่าวกรองเป็นหลัก แต่การใช้ตำแหน่งที่ตั้งแบบ AitM (Aircraft on Tunneling) ก่อให้เกิดภัยคุกคามในวงกว้างกว่านั้น การเข้าถึงดังกล่าวอาจทำให้เกิดกิจกรรมที่เป็นอันตรายเพิ่มเติม รวมถึงการแพร่กระจายมัลแวร์หรือการโจมตีแบบปฏิเสธการให้บริการ ซึ่งจะเพิ่มผลกระทบต่อองค์กรเป้าหมายอย่างมาก

สรุป: สัญญาณเตือนภัยด้านความปลอดภัยเครือข่าย

แคมเปญ FrostArmada เน้นย้ำถึงความสำคัญอย่างยิ่งของการรักษาความปลอดภัยอุปกรณ์ปลายทางภายในสภาพแวดล้อมเครือข่าย การโจมตีเราเตอร์และโครงสร้างพื้นฐาน DNS ทำให้ผู้โจมตีมีวิธีการสอดแนมที่มีประสิทธิภาพและแนบเนียน ซึ่งมักจะหลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมได้

ทั้งองค์กรและบุคคลทั่วไปต้องให้ความสำคัญกับการกำหนดค่าที่ถูกต้อง การอัปเดตแพทช์อย่างทันท่วงที และการตรวจสอบอุปกรณ์เครือข่ายอย่างต่อเนื่อง เพื่อลดความเสี่ยงที่เกิดจากผู้คุกคามขั้นสูงเหล่านี้