Международна акция спира мащабна кампания за кражба на Microsoft акаунти
Координирана операция между правоприлагащи органи и частния сектор доведе до прекъсване на мащабната киберкампания FrostArmada, свързана с руската група APT28.
Групата, известна още като Fancy Bear и Sofacy, е свързвана с руското военно разузнаване (ГРУ) и конкретно с подразделение 26165.
Как работи атаката: отвличане на DNS на ниво рутер
В основата на кампанията стои компрометиране на SOHO устройства, включително:
- MikroTik
- TP-Link
След пробив в устройствата, атакуващите:
- Променят DNS настройките
- Пренасочват трафика към контролирани VPS сървъри
- Използват тези сървъри като злонамерени DNS резолвери
Резултатът: пълен контрол върху интернет заявките на жертвата.
AitM атака: невидимо прихващане на автентикация
Чрез DNS манипулация, APT28 извършва т.нар. Adversary-in-the-Middle (AitM) атаки:
- Потребителят се пренасочва към фалшив прокси сървър
- Въвежда данни за вход в реални услуги като Microsoft 365
- Атакуващият прихваща:
- потребителски имена и пароли
- OAuth токени
Дори без кражба на парола, токените позволяват пълен достъп до акаунта.
Мащаб на кампанията
Според разследвания на Black Lotus Labs и Microsoft:
- Над 18 000 заразени устройства
- Засегнати 120 държави
- Основни цели:
- Правителствени институции
- Правоприлагащи органи
- IT и хостинг компании
Двуфазна операция: ботнет + експлоатация
Атаката функционира в две отделни направления:
1. „Expansion“ екип
- Компрометира устройства
- Разширява ботнет мрежата
2. Оперативен екип
- Извършва AitM атаки
- Събира идентификационни данни
Този модел показва висока степен на организация и специализация.
Какво вижда жертвата: почти нищо
Единственият сигнал за компрометиране е:
- TLS предупреждение за невалиден сертификат
При игнориране:
- Трафикът се декриптира
- Данните се прихващат в реално време
Международна реакция
Операцията по неутрализиране включва:
- ФБР
- Министерство на правосъдието на САЩ
- Полските власти
Инфраструктурата на атаката е свалена, а индикатори за компрометиране (IoC) са публикувани.
Анализ: ново поколение инфраструктурни атаки
1. Рутерите като входна точка
Често пренебрегвани, но критични за сигурността устройства.
2. DNS като оръжие
Контролът върху резолвинг процеса дава контрол върху целия трафик.
3. Token-based компрометиране
Паролите вече не са основната цел – токените са.
Препоръки за защита
Експертите препоръчват:
- Актуализация и пачване на рутери
- Ограничаване на публичния достъп
- Премахване на остаряло оборудване
- Въвеждане на certificate pinning
- Мониторинг на DNS и необичайни пренасочвания
FrostArmada показва как държавно подкрепени групи могат да използват масови, сравнително прости техники, за да постигнат стратегически ефект.
Компрометирането на мрежовата инфраструктура превръща всяко устройство в потенциална точка за шпионаж.
