APT28 霜冻舰队攻击战役
据称与俄罗斯有关联的网络威胁组织APT28(又名“森林暴雪”)发动了一场复杂的网络间谍活动,利用网络基础设施漏洞进行大规模监控。这场代号为“霜冻舰队”(FrostArmada)的攻击活动至少从2025年5月开始,其主要目标是入侵不安全的MikroTik和TP-Link路由器,将其转化为攻击者控制的恶意资产。
此次行动主要针对家庭和小型办公室 (SOHO) 设备,利用其薄弱的配置来篡改 DNS 设置。通过这种方式,攻击者能够拦截和重定向网络流量,从而实现被动且几乎无法察觉的数据收集。
目录
DNS劫持:将路由器变成静默监控工具
此次攻击活动的核心在于DNS劫持,这种技术允许攻击者将合法流量重定向到恶意基础设施。一旦路由器被攻破,其DNS设置就会被篡改,指向攻击者控制的服务器。这种操控使得攻击者无需任何用户交互即可拦截敏感数据。
当用户尝试访问目标域名时,他们的请求会被悄悄重定向到中间人攻击(AitM)节点。这些节点会捕获身份验证数据(包括登录凭据),并将其传输回攻击者。整个过程高度隐蔽,因此极难检测。
攻击链分解:从漏洞利用到凭证窃取
攻击生命周期遵循一个结构化的顺序,旨在最大限度地收集数据,同时最大限度地减少被检测到的可能性:
- SOHO路由器最初因漏洞或配置薄弱而遭到入侵
- 未经授权的管理访问和修改 DNS 设置
- 将 DNS 查询重定向到恶意行为者控制的解析器
- 通过 AitM 基础设施拦截用户流量
- 窃取和泄露凭证,包括密码和 OAuth 令牌
这种方法使攻击者能够监控对电子邮件平台和网络服务的登录尝试,包括涉及 Microsoft Outlook 网页版和其他非 Microsoft 托管系统的实例。
全球覆盖和战略目标
随着时间的推移,攻击活动规模显著扩大。虽然该活动于2025年5月以小规模启动,但到8月初,攻击范围迅速扩大。在2025年12月的高峰期,至少有120个国家的超过18000个独立IP地址与攻击者控制的基础设施进行通信。
主要目标包括:
- 政府机构,例如外交部和执法机构
- 第三方电子邮件和云服务提供商
- 遍布北非、中美洲、东南亚和欧洲的组织
超过 200 个组织和大约 5000 台消费设备受到影响,这表明此次行动的规模和影响范围。
利用的漏洞和基础设施策略
攻击者利用已知漏洞获取了网络设备的访问权限。值得注意的是,TP-Link WR841N 路由器被利用了 CVE-2023-50224 漏洞,该漏洞是一个身份验证绕过漏洞,允许攻击者通过精心构造的 HTTP GET 请求提取凭据。
此外,还发现了一个辅助基础设施集群,该集群负责将来自受感染路由器的 DNS 流量转发到远程攻击者控制的服务器。该集群还针对部分 MikroTik 路由器(尤其是在乌克兰的路由器)进行了有针对性的交互式攻击。
通过边缘设备入侵进行高级间谍活动
此次行动标志着APT28行动策略的重大演变。该组织首次展现了大规模DNS劫持能力,从而能够针对传输层安全协议(TLS)连接发起攻击。
通过入侵边缘设备(这些设备通常不如企业系统那样受到监控),攻击者获得了对网络流量的上游可见性。这种战略部署使他们能够识别高价值目标,并有选择地将目标锁定在具有情报价值的个人或组织身上。
经评估,该行动本质上是机会主义的,最初撒下大网,然后根据截获数据的价值逐步缩小目标范围。
运营中断和持续风险
通过美国司法部、联邦调查局和国际合作伙伴的协同努力,支持 FrostArmada 的恶意基础设施已被摧毁。尽管此次行动取得了成功,但所采用的技术仍然凸显了与不安全网络设备相关的持续风险。
虽然此次行动主要侧重于情报收集,但利用AitM定位技术带来的威胁更为广泛。此类访问权限可能促成更多恶意活动,包括恶意软件部署或拒绝服务攻击,从而显著增加对目标组织的潜在影响。
结论:网络安全的警钟
FrostArmada攻击活动凸显了保护网络环境中边缘设备的重要性。攻击者利用路由器和DNS基础设施漏洞,获得了强大而隐蔽的监视手段,往往能够绕过传统的安全控制。
组织和个人都必须优先考虑对网络设备进行正确配置、及时修补和持续监控,以降低此类高级威胁行为者带来的风险。
