APT28 霜凍艦隊攻擊戰役
據稱與俄羅斯有關聯的網路威脅組織APT28(又稱「森林暴雪」)發動了一場複雜的網路間諜活動,利用網路基礎設施漏洞進行大規模監控。這場代號為「霜凍船隊」(FrostArmada)的攻擊活動至少從2025年5月開始,主要目標是入侵不安全的MikroTik和TP-Link路由器,將其轉化為攻擊者控制的惡意資產。
此次行動主要針對家庭和小型辦公室 (SOHO) 設備,利用其薄弱的配置來篡改 DNS 設定。透過這種方式,攻擊者能夠攔截和重定向網路流量,從而實現被動且幾乎無法察覺的資料收集。
目錄
DNS劫持:將路由器變成靜默監控工具
這次攻擊活動的核心在於DNS劫持,這種技術允許攻擊者將合法流量重定向到惡意基礎設施。一旦路由器被攻破,其DNS設定就會被篡改,指向攻擊者控制的伺服器。這種操控使得攻擊者無需任何使用者互動即可攔截敏感資料。
當使用者嘗試存取目標網域時,他們的請求會被悄悄重新導向到中間人攻擊(AitM)節點。這些節點會擷取身份驗證資料(包括登入憑證),並將其傳回攻擊者。整個過程高度隱蔽,因此極難偵測。
攻擊鏈分解:從漏洞利用到憑證竊取
攻擊生命週期遵循一個結構化的順序,旨在最大限度地收集數據,同時最大限度地減少被檢測到的可能性:
- SOHO路由器最初因漏洞或配置薄弱而遭到入侵
- 未經授權的管理存取和修改 DNS 設定
- 將 DNS 查詢重新導向到惡意行為者控制的解析器
- 透過 AitM 基礎設施攔截用戶流量
- 竊取和洩漏憑證,包括密碼和 OAuth 令牌
這種方法使攻擊者能夠監控電子郵件平台和網路服務的登入嘗試,包括涉及 Microsoft Outlook 網頁版和其他非 Microsoft 託管系統的執行個體。
全球覆蓋和戰略目標
隨著時間的推移,攻擊活動規模顯著擴大。雖然該活動於2025年5月以小規模啟動,但到8月初,攻擊範圍迅速擴大。在2025年12月的高峰期,至少有120個國家的超過18,000個獨立IP位址與攻擊者控制的基礎設施進行通訊。
主要目標包括:
- 政府機構,例如外交部和執法機構
- 第三方電子郵件和雲端服務供應商
- 遍佈北非、中美洲、東南亞和歐洲的組織
超過 200 個組織和大約 5000 台消費設備受到影響,顯示此行動的規模和影響範圍。
利用的漏洞和基礎設施策略
攻擊者利用已知漏洞獲取了網路設備的存取權限。值得注意的是,TP-Link WR841N 路由器被利用了 CVE-2023-50224 漏洞,該漏洞是一個身份驗證繞過漏洞,允許攻擊者透過精心建構的 HTTP GET 請求提取憑證。
此外,還發現了一個輔助基礎設施集群,該集群負責將來自受感染路由器的 DNS 流量轉發到遠端攻擊者控制的伺服器。該叢集還針對部分 MikroTik 路由器(尤其是在烏克蘭的路由器)進行了有針對性的互動式攻擊。
透過邊緣設備入侵進行高級間諜活動
此次行動標誌著APT28行動策略的重大演進。該組織首次展現了大規模DNS劫持能力,因此能夠針對傳輸層安全協定(TLS)連線發動攻擊。
透過入侵邊緣設備(這些設備通常不如企業系統那樣受到監控),攻擊者獲得了對網路流量的上游可見性。這種戰略部署使他們能夠識別高價值目標,並有選擇地將目標鎖定在具有情報價值的個人或組織身上。
經評估,該行動本質上是機會主義的,最初撒下大網,然後根據截獲數據的價值逐步縮小目標範圍。
營運中斷和持續風險
透過美國司法部、聯邦調查局和國際合作夥伴的協同努力,支持 FrostArmada 的惡意基礎設施已被摧毀。儘管此次行動取得了成功,但所採用的技術仍凸顯了與不安全網路設備相關的持續風險。
雖然此次行動主要著重於情報收集,但利用AitM定位技術帶來的威脅更為廣泛。此類存取權限可能促成更多惡意活動,包括惡意軟體部署或拒絕服務攻擊,從而顯著增加對目標組織的潛在影響。
結論:網路安全的警鐘
FrostArmada攻擊活動凸顯了保護網路環境中邊緣設備的重要性。攻擊者利用路由器和DNS基礎設施漏洞,獲得了強大而隱密的監視手段,往往能夠繞過傳統的安全控制措施。
組織和個人都必須優先考慮對網路設備進行正確配置、及時修補和持續監控,以降低此類高階威脅行為者帶來的風險。
