Киберпреступные группировки, связанные с государственными интересами, продолжают демонстрировать высокую адаптивность, перерабатывая давно известные техники в новые опасные кампании. Исследовательская группа Black Lotus Labs компании Lumen Technologies раскрыла детали операции под кодовым названием FrostArmada, которую они связывают с угрозой Forest Blizzard. В центре атаки оказались тысячи скомпрометированных маршрутизаторов, чьи настройки DNS были изменены для незаметного перехвата аутентификационных данных жертв по всему миру.
Описание
Особенность кампании заключается в её масштабе и изощрённости. Вместо того чтобы атаковать конкретные конечные устройства, злоумышленники сфокусировались на сетевой периметрии - бытовых и корпоративных роутерах, особенно моделях MikroTik и TP-Link, доступных из интернета. Скомпрометировав устройство через уязвимости в веб-интерфейсе (вероятно, используя известные CVE), группа получала права администратора. Ключевым шагом было изменение конфигурации DNS-сервера на роутере. Вместо легитимных серверов жертвам навязывался контролируемый злоумышленниками рекурсивный резолвер, размещённый на арендованных VPS.
Эта манипуляция, практически невидимая для рядового пользователя, позволила реализовать атаку "злоумышленник в середине" (Attacker-in-the-Middle, AitM). Когда компьютер в локальной сети запрашивал домены, связанные с аутентификацией (например, сервисы Microsoft Office), подконтрольный DNS-сервер возвращал IP-адрес инфраструктуры атакующих, а не настоящий адрес сервера. В результате весь трафик для входа в учётную запись проходил через прокси-сервер Forest Blizzard. Это позволяло перехватывать логины, пароли, а что критичнее - OAuth-токены и даже хэши NTLM, часто после успешного прохождения пользователем многофакторной аутентификации (MFA). Атака требовала минимального взаимодействия с жертвой: единственным признаком могло быть стандартное предупреждение браузера о недоверенном сертификате, которое многие пользователи игнорируют.
Начавшись в мае 2025 года с точечных атак, кампания резко набрала обороты после публикации отчёта UK National Cyber Security Centre (NCSC) о другом инструменте Forest Blizzard для кражи учётных данных. Специалисты Lumen зафиксировали взрывной рост эксплуатации роутеров и подмены DNS уже на следующий день после публикации, что свидетельствует о чрезвычайно быстрой адаптации тактик группой. На пике активности, в декабре 2025 года, с инфраструктурой злоумышленников коммуницировали более 18 000 уникальных IP-адресов из 120 стран. Основными целями стали государственные учреждения, включая министерства иностранных дел и правоохранительные органы, а также поставщики IT-услуг и облачных решений в Европе и США.
Угроза Forest Blizzard, известная также как APT28 или Fancy Bear, давно отслеживается аналитиками. Группа сочетает передовые инструменты, вроде использования больших языковых моделей (LLM), с проверенными временем, "классическими" методами. Их устойчивый интерес к сбору электронной почты из правительственного, оборонного и логистического секторов делает их одной из наиболее опасных и целеустремлённых угроз. В данном случае они вернулись к эксплуатации фундаментального протокола DNS, слабости которого хорошо документированы, но сложны для повсеместного устранения. Локализованная подмена DNS на уровне роутера позволила им долгое время избегать обнаружения в отличие от более грубых атак на уровне провайдера.
В ответ на угрозу Lumen Technologies в сотрудничестве с Microsoft Threat Intelligence Center (MSTIC), ФБР и Министерством юстиции США провела операцию по выводу вредоносной инфраструктуры из строя. Для защиты клиентов индикаторы компрометации были добавлены в систему Lumen DefenderSM. Однако, учитывая привычку группировки менять тактики после публичного разоблачения, эксперты ожидают продолжения их активности в других формах.
Для организаций, особенно из упомянутых целевых секторов, этот инцидент служит жёстким напоминанием о критической важности базовой гигиены безопасности. Ключевые меры защиты включают обязательное обновление прошивок сетевого оборудования и закрытие веб-интерфейсов управления от публичного интернета, внедрение политик, препятствующих перебору паролей, и использование прикрепление сертификата на корпоративных устройствах для предотвращения успешных AitM-атак. Кроме того, необходимо отслеживать исходящие подключения к IP-адресам, принадлежащим известным провайдерам VPS, и незамедлительно выводить из эксплуатации устаревшее оборудование, не получающее обновлений безопасности. В конечном счёте, атака FrostArmada наглядно показывает, что безопасность сети определяется надёжностью её самого слабого звена, которым зачастую оказывается забытый на периметре маршрутизатор.
Индикаторы компрометации
IPv4
- 185.117.89.32
- 185.237.166.55
- 23.106.120.119
- 64.120.31.96
- 79.141.160.78
- 79.141.173.211
