APT28 Кампанія атаки FrostArmada
Складна операція з кібершпигунства, яку приписують пов'язаній з Росією групі загроз APT28, також відомій як Forest Blizzard, використовувала вразливу мережеву інфраструктуру для проведення масштабного спостереження. Кампанія під кодовою назвою FrostArmada, що активна щонайменше з травня 2025 року, була зосереджена на компрометації незахищених маршрутизаторів MikroTik та TP-Link, перетворюючи їх на шкідливі ресурси під контролем зловмисника.
Ця операція була спрямована переважно на домашні та малоофісні (SOHO) пристрої, використовуючи слабкі конфігурації для маніпулювання налаштуваннями DNS. Роблячи це, зловмисники могли перехоплювати та перенаправляти мережевий трафік, що дозволяло пасивний та значною мірою непомітний збір даних.
Зміст
Викрадення DNS: перетворення маршрутизаторів на інструменти тихого спостереження
В основі кампанії лежить захоплення DNS – техніка, яка дозволяла зловмисникам перенаправляти легітимний трафік через шкідливу інфраструктуру. Після компрометації маршрутизатора його налаштування DNS змінювалися, щоб вказувати на сервери, контрольовані зловмисником. Ця маніпуляція дозволяла перехоплювати конфіденційні дані без будь-якої взаємодії з користувачем.
Коли користувачі намагалися отримати доступ до цільових доменів, їхні запити непомітно перенаправлялися до вузлів типу «зловмисник посередині» (AitM). Ці вузли фіксували дані автентифікації, включаючи облікові дані для входу, та передавали їх назад зловмисникам. Процес був дуже прихованим, що надзвичайно ускладнювало виявлення.
Розподіл ланцюжка атак: від експлуатації до крадіжки облікових даних
Життєвий цикл атаки дотримувався структурованої послідовності, розробленої для максимізації збору даних та мінімізації виявлення:
- Початкова компрометація SOHO-маршрутизаторів через вразливості або слабкі конфігурації
- Несанкціонований адміністративний доступ та зміна налаштувань DNS
- Перенаправлення DNS-запитів до шкідливих резолверів, контрольованих акторами
- Перехоплення трафіку користувача через інфраструктуру AitM
- Збір та вилучення облікових даних, включаючи паролі та токени OAuth
Цей метод дозволив зловмисникам відстежувати спроби входу на поштові платформи та веб-сервіси, зокрема випадки, пов'язані з Microsoft Outlook в Інтернеті та іншими системами, що не розміщені на базі Microsoft.
Глобальний охоплення та стратегічне таргетування
З часом кампанія значно розширилася. Хоча вона розпочалася в обмеженому масштабі у травні 2025 року, широкомасштабні зусилля з експлуатації зросли до початку серпня. Пік її дії спостерігався у грудні 2025 року, коли понад 18 000 унікальних IP-адрес у щонайменше 120 країнах взаємодіяли з інфраструктурою, контрольованою зловмисниками.
Основні цілі включали:
- Урядові установи, такі як міністерства закордонних справ та правоохоронні органи
- Сторонні постачальники послуг електронної пошти та хмарних послуг
- Організації в Північній Африці, Центральній Америці, Південно-Східній Азії та Європі
Понад 200 організацій та приблизно 5000 споживчих пристроїв постраждали, що демонструє масштаб та охоплення операції.
Експлуатовані вразливості та тактики інфраструктури
Зловмисники використали відомі вразливості для отримання доступу до мережевих пристроїв. Зокрема, маршрутизатори TP-Link WR841N були атаковані за допомогою CVE-2023-50224, вразливості обходу автентифікації, яка дозволяла вилучення облікових даних за допомогою спеціально створених HTTP-запитів GET.
Крім того, було виявлено вторинний кластер інфраструктури, відповідальний за ретрансляцію DNS-трафіку зі скомпрометованих маршрутизаторів на віддалені сервери, контрольовані зловмисником. Цей кластер також проводив цілеспрямовані інтерактивні операції проти окремих маршрутизаторів MikroTik, зокрема в Україні.
Розширене шпигунство через компрометацію периферійних пристроїв
Ця кампанія знаменує собою значний розвиток оперативної тактики APT28. Вперше група продемонструвала здатність здійснювати масштабне захоплення DNS для полегшення атак AitM на з'єднання Transport Layer Security (TLS).
Компрометуючи периферійні пристрої, які часто менше контролюються, ніж корпоративні системи, зловмисники отримували доступ до мережевого трафіку вище за стандарти. Таке стратегічне позиціонування дозволило їм виявляти цінні цілі та вибірково зосереджуватися на окремих особах або організаціях, що становлять інтерес для розвідки.
Операція оцінюється як опортуністична за своєю природою, спочатку вона охоплює широку мережу та поступово звужує цілі залежно від цінності перехоплених даних.
Збої в роботі та поточні ризики
Шкідливу інфраструктуру, що підтримує FrostArmada, було знищено завдяки скоординованим зусиллям за участю Міністерства юстиції США, Федерального бюро розслідувань та міжнародних партнерів. Незважаючи на ці порушення, використані методи підкреслюють постійні ризики, пов'язані з незахищеними мережевими пристроями.
Хоча кампанія в основному зосереджувалася на зборі розвідувальних даних, використання позиціонування AitM створює ширші загрози. Такий доступ може призвести до додаткових зловмисних дій, включаючи розгортання шкідливого програмного забезпечення або атаки типу «відмова в обслуговуванні», що значно збільшує потенційний вплив на цільові організації.
Висновок: Сигнал тривоги для мережевої безпеки
Кампанія FrostArmada підкреслює критичну важливість захисту периферійних пристроїв у мережевих середовищах. Експлуатація маршрутизаторів та інфраструктури DNS надає зловмисникам потужні та приховані засоби спостереження, часто в обхід традиційних засобів безпеки.
Організації та окремі особи повинні надавати пріоритет належному налаштуванню, своєчасному встановленню виправлень та постійному моніторингу мережевих пристроїв, щоб зменшити ризики, що виникають з боку таких передових зловмисників.
