Власти пресекли DNS-хулиганство на роутерах, использовавшееся для кражи учетных данных Microsoft 365

Международная операция правоохранительных органов в партнерстве с частными компаниями пресекла деятельность FrostArmada — кампании APT28, которая перехватывала локальный трафик с маршрутизаторов MikroTik и TP-Link для кражи учетных данных учетных записей Microsoft.

Российская хакерская группировка APT28, также известная как Fancy Bear, Sofacy, Forest Blizzard, Strontium, Storm-2754 и Sednit, связана с российской военной частью 26165 Главного разведывательного управления (ГРУ) Генерального штаба.

В ходе атак FrostArmada хакеры скомпрометировали преимущественно маршрутизаторы для малого офиса/домашнего офиса (SOHO) и изменили настройки системы доменных имен (DNS), чтобы они указывали на контролируемые злоумышленниками виртуальные частные серверы (VPS), которые выступали в роли DNS-резолверов.

Это позволило APT28 перехватывать аутентификационный трафик к целевым доменам и красть логины и токены OAuth от Microsoft.

На пике в декабре 2025 года FrostArmada заразила 18 000 устройств в 120 странах, нацеливаясь в первую очередь на государственные учреждения, правоохранительные органы, ИТ- и хостинг-провайдеров, а также организации, управляющие собственными серверами.

Microsoft, чьими сервисами была нацелена эта кампания, сотрудничала с Black Lotus Labs (BLL), подразделением Lumen по исследованию угроз и операциям, для картирования вредоносной активности и выявления жертв.

При поддержке ФБР, Министерства юстиции США и правительства Польши вредоносная инфраструктура была отключена.

Активность FrostArmada

Злоумышленники атаковали маршрутизаторы, доступные из интернета, в основном MikroTik и TP-Link, а также некоторые продукты для межсетевых экранов от Nethesis и старые модели Fortinet.

После компрометации устройства связывались с инфраструктурой злоумышленников и получали изменения в конфигурации DNS, перенаправляющие трафик на вредоносные узлы VPS.

Новые настройки DNS автоматически передавались внутренним устройствам через протокол динамической конфигурации хоста (DHCP).

Когда клиенты запрашивали домены, связанные с аутентификацией, на которые нацеливался злоумышленник, DNS-сервер возвращал IP-адрес атакующего вместо реального, перенаправляя жертв на прокси-сервер типа «атака посредника» (Adversary-in-the-Middle, AitM).

Единственным видимым признаком мошенничества для жертвы было бы предупреждение о недействительном TLS-сертификате, которое можно было легко проигнорировать. Однако игнорирование этого предупреждения давало злоумышленнику доступ к незашифрованному интернет-трафику жертвы.

«По сути, злоумышленник использовал прокси-сервис в качестве AitM, на который конечный пользователь перенаправлялся через DNS», — объясняют исследователи Black Lotus Labs из Lumen.

«Единственным признаком этой атаки было бы всплывающее предупреждение о подключении к недоверенному источнику из-за конфигурации «проверка и инспекция» (break and inspect).

«Если предупреждения присутствовали и их игнорировали или нажимали «продолжить», злоумышленник проксировал запросы к легитимным сервисам, собирая данные в точке перехвата и получая данные, связанные с целевой учетной записью, передавая действительный токен OAuth».

В некоторых случаях, однако, хакеры подделывали DNS-ответы для определенных доменов, тем самым заставляя затронутые конечные точки подключаться к инфраструктуре атаки, говорится в сегодняшнем отчете Microsoft.

Lumen сообщает, что FrostArmada действовала в двух отдельных кластерах: один, называемый «Команда расширения» (Expansion team), занимался компрометацией устройств и ростом ботнета, а второй отвечал за операции AitM и сбор учетных данных.

Исследователи сообщают, что активность FrostArmada резко возросла после отчета Национального центра кибербезопасности (NCSC) Великобритании за август 2025 года, в котором описывался набор инструментов Forest Blizzard, нацеленный на учетные данные и токены учетных записей Microsoft.

Microsoft подтвердила, что APT28 проводила атаки AitM на домены, связанные со службой Microsoft 365, поскольку также были атакованы поддомены для веб-версии Microsoft Outlook.

Кроме того, компания зафиксировала эту активность на серверах, принадлежащих трем правительственным организациям в Африке, которые не размещались на инфраструктуре Microsoft. В этих атаках «Forest Blizzard перехватывала DNS-запросы и проводила последующий сбор данных».

Black Lotus Labs также зафиксировала, что злоумышленник нацеливался на организации с локальными почтовыми серверами и «небольшое число государственных организаций» в Северной Африке, Центральной Америке и Юго-Восточной Азии.

Исследователи отмечают, что «также была связь с национальной платформой идентификации в одной из европейских стран».

В сегодняшнем отчете агентство Великобритании заявляет, что активность AitM затронула как сеансы браузера, так и настольные приложения, а угон DNS, как полагают, носил оппортунистический характер с целью создания большого пула потенциальных целей с последующей фильтрацией интересующих.

Black Lotus Labs опубликовала небольшой набор индикаторов компрометации для VPS-серверов, использовавшихся в кампании FrostArmada:

Исследователи отмечают, что защитникам следует внедрить сертификатное закрепление (certificate pinning) для корпоративных устройств (ноутбуков, мобильных телефонов), управляемых через MDM-решение, что вызовет ошибку, когда злоумышленник попытается перехватить и проанализировать трафик на своей VPS-инфраструктуре.

Другая рекомендация — минимизировать поверхность атаки путем установки исправлений, ограничения доступа из публичного веба и удаления всего оборудования с истекшим сроком службы.

Microsoft и NCSC также предоставляют список IoC и руководства по защите, чтобы помочь защитникам выявлять и предотвращать атаки с угоном DNS.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.