Διακοπή της εκστρατείας FrostArmada: Μια επιτυχία κατά της APT28
Μια διεθνής συνεργασία μεταξύ των αρχών επιβολής του νόμου και ιδιωτικών φορέων κατέληξε στη διακοπή της επιτυχώς οργανωμένης εκστρατείας FrostArmada, η οποία σχετίζεται με την ομάδα απειλών APT28. Αυτή η καμπάνια, που παραβίασε την τοπική κυκλοφορία δρομολογητών σημάτων από τις MikroTik και TP-Link, είχε ως στόχο τη συλλογή στοιχείων σύνδεσης λογαριασμών Microsoft 365.
Η APT28, γνωστή επίσης ως Fancy Bear, Sofacy, Forest Blizzard και άλλες ονομασίες, σχετίζεται με τη ρωσική στρατιωτική μονάδα GRU (Γενική Διεύθυνση Πληροφοριών) και συγκεκριμένα με το 85ο Κέντρο Ειδικών Υπηρεσιών.
Πώς λειτουργεί η εκστρατεία FrostArmada
Κατά την εκτέλεση των επιθέσεών της, η ομάδα APT28 στοχοποίησε κυρίως δρομολογητές SOHO (Small Office/Home Office), επιτυγχάνοντας να τροποποιήσει τις ρυθμίσεις τους, ειδικότερα το Σύστημα Ονομάτων Τομέων (DNS). Οι επιτιθέμενοι κατάφεραν έτσι να ανακατευθύνουν την κυκλοφορία προς κακόβουλους διακομιστές που λειτουργούσαν ως επιλύτες DNS, συλλέγοντας στοιχεία σύνδεσης και διακριτικά OAuth.
Σύμφωνα με πληροφορίες, μέχρι τον Δεκέμβριο του 2025, η εκστρατεία είχε μολύνει πάνω από 18.000 συσκευές σε 120 χώρες, με κύριους στόχους κυβερνητικούς οργανισμούς και παρόχους πληροφορικής. Η συνεργασία της Microsoft με την Black Lotus Labs επέτρεψε τον εντοπισμό και την ανάλυση αυτής της κακόβουλης δραστηριότητας.
Εξουδετέρωση της κακόβουλης υποδομής
Με την υποστήριξη του FBI και της Πολωνικής κυβέρνησης, οι αρχές κατάφεραν να αποδομήσουν την υποδομή ελέγχοντας τους παραβιασμένους δρομολογητές μέσω δικαστικής εξουσιοδότησης, αποκαθιστώντας τις ρυθμίσεις DNS.
Οι δρομολογητές MikroTik και TP-Link, μαζί με επιλεγμένα προϊόντα τείχους προστασίας, βρέθηκαν στο στόχαστρο καθώς εκτίθενταν στο διαδίκτυο. Μόλις παραβιάζονταν, οι συσκευές επικοινωνούσαν με την υποδομή των εισβολέων και κατέβαλαν τροποποιήσεις, οδηγώντας σε ανακατευθύνσεις κακόβουλης κυκλοφορίας στους χρήστες.
Δραστηριότητες του APT28
Η ομάδα χρησιμοποιούσε δύο πτυχές στη λειτουργία της: μία για τον συμβιβασμό συσκευών (γνωστή ως «Ομάδα Επέκτασης») και μία για τις επιθέσεις “Adversary-in-the-Middle” (AiTM). Όταν οι χρήστες προσπαθούσαν να συνδεθούν σε κανονικούς τομείς, οι επιτιθέμενοι του παρείχαν ψευδείς διευθύνσεις IP δημιουργώντας την αίσθηση ότι οι χρήστες επικοινωνούν με νόμιμους διακομιστές.
Σε περίπτωση που το θύμα αγνοήσει προειδοποιήσεις που σχετίζονται με πιστοποιητικά ασφαλείας, η κακόβουλη υποδομή αποκτούσε πρόσβαση στις ευαίσθητες πληροφορίες του.
Πηγή: Black Lotus Labs
Συστάσεις για την ασφάλεια των χρηστών
Με την εμφάνιση αυτών των απειλών, το Υπουργείο Δικαιοσύνης των ΗΠΑ εξέδωσε οδηγίες για τους χρήστες που χρησιμοποιούν δρομολογητές SOHO:
- Αντικαταστήστε δρομολογητές που δεν υποστηρίζονται πλέον.
- Εγκαταστήστε την τελευταία διαθέσιμη έκδοση υλικολογισμικού.
- Ελέγξτε τις ρυθμίσεις DNS του δρομολογητή.
- Εφαρμόστε κανόνες τείχους προστασίας για αποφυγή ανεπιθύμητης έκθεσης.
Η APT28 έχει εκμεταλλευτεί γνωστές ευπάθειες από το 2024, εστιάζοντας στη συλλογή ευαίσθητων πληροφοριών από κοινούς χρήστες. Ειδικότερα, οι ερευνητές της Black Lotus Labs παρατηρούν ότι η δραστηριότητα του FrostArmada άρχισε να αυξάνεται ραγδαία τον Αύγουστο του 2025, ακολουθώντας παρακολουθήσεις από κυβερνητικούς οργανισμούς.
Ένα απειλητικό μέλλον για την ασφάλεια
Η παρατηρούμενη δραστηριότητα “Adversary-in-the-Middle” αποδεικνύει πόσο σοβαρές είναι οι νέες κατευθύνσεις στον κυβερνοχώρο. Ειδικότερα στη περίπτωση του APT28, παρατηρούμε ένα καλοσχεδιασμένο δίκτυο επίθεσης που επιτρέπει στους επιτιθέμενους να εκμεταλλεύονται τις ευπάθειες υπερβαίνοντας τα παραδοσιακά όρια της ασφάλειας.
Για περισσότερες λεπτομέρειες σχετικά με τη δραστηριότητα αυτή και παραδείγματα επιθέσεων από το FrostArmada, μπορείτε να επισκεφθείτε τις αναφορές των Microsoft και NCSC.
Εκσυγχρονίζω [April 7, 18:16 EST]: Το άρθρο ενημερώθηκε με πρόσθετες πληροφορίες από το Υπουργείο Δικαιοσύνης που έγιναν διαθέσιμες μετά το χρόνο δημοσίευσης.