Совместная международная операция правоохранительных органов и партнеров из частного сектора успешно пресекла сложную кампанию кибершпионажа под названием «FrostArmada». Кампания, приписываемая российской государственной группе угроз APT28, включала массовый перехват маршрутизаторов для малого офиса / домашнего офиса (SOHO) с целью кражи учетных данных Microsoft 365. Скомпрометировав маршрутизаторы таких производителей, как MikroTik и TP-Link, хакеры изменили настройки системы доменных имен (DNS) на устройствах. Эта манипуляция перенаправляла трафик пользователей на вредоносные виртуальные частные серверы (VPS), контролируемые злоумышленниками, которые выступали в роли поддельных DNS-резолверов. Эта техника, известная как перехват DNS, позволила APT28 перехватывать трафик аутентификации, предназначенный для легитимных служб Microsoft, что позволило похищать учетные данные для входа и токены OAuth.
Кампания FrostArmada продемонстрировала значительный масштаб и охват. На пике в декабре 2025 года операция заразила примерно 18 000 устройств в 120 странах. Основными целями были государственные учреждения, правоохранительные органы, ИТ- и хостинг-провайдеры, а также организации, управляющие собственной серверной инфраструктурой. Целью кампании была кража учетных данных, что предоставило APT28 — группе, связанной с российской военной разведкой ГРУ — первоначальный доступ к чувствительным сетям для дальнейшей шпионской деятельности. Компания Microsoft, чьи службы были непосредственной целью, сотрудничала с исследовательским подразделением по угрозам Lumen, Black Lotus Labs, для картирования вредоносной инфраструктуры и выявления пострадавших организаций.
Ликвидация инфраструктуры FrostArmada стала результатом скоординированных усилий нескольких сторон. После расследования, проведенного Microsoft и Black Lotus Labs, были предприняты действия при поддержке Федерального бюро расследований (ФБР) США, Министерства юстиции США и правительства Польши. Это сотрудничество привело к изъятию и отключению вредоносных командных серверов и поддельных DNS-резолверов, эффективно нейтрализовав непосредственную угрозу. Операция подчеркивает растущую тенденцию, когда злоумышленники нацеливаются на периферийные сетевые устройства, такие как маршрутизаторы, которые часто упускаются из виду в системе безопасности, но предоставляют мощную точку наблюдения для перехвата трафика.
Этот инцидент подчеркивает важные уроки для корпоративной и индивидуальной кибербезопасности. Компрометация маршрутизаторов SOHO указывает на необходимость защиты всех сетевых устройств, а не только традиционных конечных точек, таких как компьютеры и серверы. Передовые методы включают изменение учетных данных администратора по умолчанию, регулярное обновление прошивки маршрутизатора, отключение функций удаленного управления, когда они не нужны, и мониторинг настроек DNS на предмет несанкционированных изменений. Для предприятий внедрение мер безопасности DNS, таких как DNS-over-HTTPS (DoH), или использование доверенных, жестко прописанных DNS-резолверов может помочь смягчить последствия таких атак перехвата. Успешное пресечение деятельности FrostArmada служит напоминанием о важности государственно-частного партнерства в борьбе со сложными киберугрозами глобального масштаба.
