Chiến dịch tấn công APT28 FrostArmada

Một chiến dịch gián điệp mạng tinh vi được cho là do nhóm tin tặc APT28 có liên hệ với Nga thực hiện, còn được gọi là Forest Blizzard, đã lợi dụng cơ sở hạ tầng mạng dễ bị tổn thương để tiến hành giám sát quy mô lớn. Hoạt động từ ít nhất tháng 5 năm 2025, chiến dịch này, có tên mã là FrostArmada, tập trung vào việc xâm nhập các bộ định tuyến MikroTik và TP-Link không an toàn, biến chúng thành các tài sản độc hại nằm dưới sự kiểm soát của kẻ tấn công.

Chiến dịch này chủ yếu nhắm vào các thiết bị gia đình và văn phòng nhỏ (SOHO), khai thác các cấu hình yếu để thao túng cài đặt DNS. Bằng cách đó, kẻ tấn công có thể chặn và chuyển hướng lưu lượng mạng, cho phép thu thập dữ liệu một cách thụ động và hầu như không thể phát hiện được.

Tấn công chiếm quyền điều khiển DNS: Biến bộ định tuyến thành công cụ giám sát ngầm

Cốt lõi của chiến dịch này là kỹ thuật chiếm quyền điều khiển DNS, cho phép kẻ tấn công chuyển hướng lưu lượng truy cập hợp pháp thông qua cơ sở hạ tầng độc hại. Sau khi bộ định tuyến bị xâm nhập, cài đặt DNS của nó sẽ bị thay đổi để trỏ đến các máy chủ do kẻ tấn công kiểm soát. Thao tác này cho phép chặn dữ liệu nhạy cảm mà không cần bất kỳ sự tương tác nào của người dùng.

Khi người dùng cố gắng truy cập vào các tên miền mục tiêu, yêu cầu của họ đã được âm thầm chuyển hướng đến các máy chủ trung gian (AitM). Các máy chủ này thu thập dữ liệu xác thực, bao gồm thông tin đăng nhập, và truyền lại cho kẻ tấn công. Quá trình này diễn ra rất bí mật, khiến việc phát hiện trở nên vô cùng khó khăn.

Phân tích chuỗi tấn công: Từ khai thác lỗ hổng đến đánh cắp thông tin đăng nhập

Chu trình tấn công tuân theo một trình tự có cấu trúc được thiết kế để tối đa hóa việc thu thập dữ liệu đồng thời giảm thiểu khả năng bị phát hiện:

• Sự xâm nhập ban đầu của các bộ định tuyến SOHO thông qua các lỗ hổng hoặc cấu hình yếu.
• Truy cập quản trị và sửa đổi cài đặt DNS trái phép
• Chuyển hướng các truy vấn DNS đến các máy chủ phân giải do tác nhân độc hại kiểm soát.
• Chặn lưu lượng truy cập của người dùng thông qua cơ sở hạ tầng AitM
• Thu thập và đánh cắp thông tin đăng nhập, bao gồm mật khẩu và mã thông báo OAuth.

Phương pháp này cho phép kẻ tấn công theo dõi các nỗ lực đăng nhập vào các nền tảng email và dịch vụ web, bao gồm cả các trường hợp liên quan đến Microsoft Outlook trên web và các hệ thống không do Microsoft lưu trữ khác.

Phạm vi toàn cầu và chiến lược nhắm mục tiêu

Chiến dịch này đã mở rộng đáng kể theo thời gian. Mặc dù bắt đầu với quy mô hạn chế vào tháng 5 năm 2025, nhưng các nỗ lực khai thác trên diện rộng đã leo thang vào đầu tháng 8. Ở thời điểm đỉnh điểm vào tháng 12 năm 2025, hơn 18.000 địa chỉ IP duy nhất trên ít nhất 120 quốc gia đã được quan sát thấy đang liên lạc với cơ sở hạ tầng do kẻ tấn công kiểm soát.

Các mục tiêu chính bao gồm:

• Các cơ quan chính phủ như bộ ngoại giao và các cơ quan thực thi pháp luật.
• Các nhà cung cấp dịch vụ email và điện toán đám mây của bên thứ ba
• Các tổ chức trên khắp Bắc Phi, Trung Mỹ, Đông Nam Á và Châu Âu

Hơn 200 tổ chức và khoảng 5.000 thiết bị tiêu dùng đã bị ảnh hưởng, cho thấy quy mô và phạm vi ảnh hưởng của chiến dịch này.

Các lỗ hổng bị khai thác và chiến thuật tấn công cơ sở hạ tầng

Kẻ tấn công đã lợi dụng các lỗ hổng bảo mật đã biết để truy cập vào các thiết bị mạng. Đặc biệt, bộ định tuyến TP-Link WR841N đã bị khai thác bằng lỗ hổng CVE-2023-50224, một lỗ hổng bỏ qua xác thực cho phép trích xuất thông tin đăng nhập thông qua các yêu cầu HTTP GET được tạo ra đặc biệt.

Ngoài ra, một cụm cơ sở hạ tầng thứ cấp đã được xác định, chịu trách nhiệm chuyển tiếp lưu lượng DNS từ các bộ định tuyến bị xâm nhập đến các máy chủ từ xa do kẻ tấn công điều khiển. Cụm này cũng tiến hành các hoạt động tương tác có mục tiêu nhằm vào một số bộ định tuyến MikroTik nhất định, đặc biệt là ở Ukraine.

Hoạt động gián điệp nâng cao thông qua việc xâm nhập thiết bị biên

Chiến dịch này đánh dấu một bước tiến đáng kể trong chiến thuật hoạt động của APT28. Lần đầu tiên, nhóm này đã chứng minh khả năng thực hiện tấn công chiếm quyền điều khiển DNS trên quy mô lớn để tạo điều kiện thuận lợi cho các cuộc tấn công AitM nhằm vào các kết nối Bảo mật Lớp Vận chuyển (TLS).

Bằng cách xâm nhập vào các thiết bị đầu cuối, thường ít được giám sát hơn so với các hệ thống doanh nghiệp, tin tặc đã có được khả năng quan sát lưu lượng mạng từ phía thượng nguồn. Vị trí chiến lược này cho phép chúng xác định các mục tiêu có giá trị cao và tập trung có chọn lọc vào các cá nhân hoặc tổ chức mà chúng quan tâm về mặt tình báo.

Chiến dịch này được đánh giá là mang tính cơ hội, ban đầu giăng lưới rộng và dần dần thu hẹp mục tiêu dựa trên giá trị của dữ liệu thu được.

Sự gián đoạn hoạt động và các rủi ro liên tục

Hệ thống hạ tầng độc hại hỗ trợ FrostArmada đã bị triệt phá nhờ nỗ lực phối hợp giữa Bộ Tư pháp Hoa Kỳ, Cục Điều tra Liên bang và các đối tác quốc tế. Mặc dù vậy, các kỹ thuật được sử dụng vẫn cho thấy những rủi ro dai dẳng liên quan đến các thiết bị mạng không được bảo mật.

Mặc dù chiến dịch chủ yếu tập trung vào thu thập thông tin tình báo, việc sử dụng định vị AitM (Access AttM) tiềm ẩn những mối đe dọa rộng hơn. Quyền truy cập này có thể tạo điều kiện cho các hoạt động độc hại khác, bao gồm triển khai phần mềm độc hại hoặc tấn công từ chối dịch vụ, làm tăng đáng kể tác động tiềm tàng đối với các tổ chức mục tiêu.

Kết luận: Một lời cảnh tỉnh cho an ninh mạng

Chiến dịch FrostArmada nhấn mạnh tầm quan trọng sống còn của việc bảo mật các thiết bị đầu cuối trong môi trường mạng. Việc khai thác các bộ định tuyến và cơ sở hạ tầng DNS cung cấp cho kẻ tấn công một phương tiện giám sát mạnh mẽ và lén lút, thường bỏ qua các biện pháp kiểm soát an ninh truyền thống.

Cả các tổ chức và cá nhân đều phải ưu tiên cấu hình đúng cách, vá lỗi kịp thời và giám sát liên tục các thiết bị mạng để giảm thiểu rủi ro do các tác nhân đe dọa tiên tiến gây ra.