Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) APT28 FrostArmada Angriffskampagne

APT28 FrostArmada Angriffskampagne

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware, Phishing
Übersetzen Sie in:

Eine ausgeklügelte Cyber-Spionageoperation der russischen Bedrohungsgruppe APT28 (auch bekannt als Forest Blizzard) nutzte Schwachstellen in der Netzwerkinfrastruktur für großflächige Überwachung. Die Kampagne mit dem Codenamen FrostArmada ist mindestens seit Mai 2025 aktiv und konzentrierte sich auf die Kompromittierung unsicherer Router von MikroTik und TP-Link, um diese in bösartige, von den Angreifern kontrollierte Systeme zu verwandeln.

Diese Operation zielte primär auf Geräte in Privathaushalten und kleinen Büros (SOHO) ab und nutzte Schwachstellen in deren Konfiguration aus, um DNS-Einstellungen zu manipulieren. Dadurch konnten die Angreifer den Netzwerkverkehr abfangen und umleiten, was eine passive und weitgehend unbemerkte Datenerfassung ermöglichte.

DNS-Hijacking: Router als stille Überwachungswerkzeuge

Kern der Kampagne war DNS-Hijacking, eine Technik, die es Angreifern ermöglichte, legitimen Datenverkehr über manipulierte Infrastruktur umzuleiten. Sobald ein Router kompromittiert war, wurden seine DNS-Einstellungen so geändert, dass sie auf Server der Angreifer verwiesen. Diese Manipulation ermöglichte das Abfangen sensibler Daten ohne jegliche Benutzerinteraktion.

Beim Zugriff auf die Zieldomains wurden die Anfragen der Nutzer unbemerkt an Angreifer-in-the-Middle-Knoten (AitM-Knoten) umgeleitet. Diese Knoten erfassten Authentifizierungsdaten, einschließlich der Anmeldeinformationen, und übermittelten sie an die Angreifer. Der Vorgang verlief hochgradig verdeckt, was seine Erkennung extrem erschwerte.

Angriffskette im Detail: Von der Ausnutzung von Sicherheitslücken bis zum Diebstahl von Zugangsdaten

Der Angriffszyklus folgte einer strukturierten Abfolge, die darauf ausgelegt war, die Datenerfassung zu maximieren und gleichzeitig die Entdeckung zu minimieren:

  • Erste Kompromittierung von SOHO-Routern durch Sicherheitslücken oder schwache Konfigurationen
  • Unbefugter administrativer Zugriff und Änderung der DNS-Einstellungen
  • Umleitung von DNS-Anfragen an bösartige, von Akteuren kontrollierte Resolver
  • Abfangen des Benutzerverkehrs über die AitM-Infrastruktur
  • Sammeln und Exfiltration von Anmeldeinformationen, einschließlich Passwörtern und OAuth-Tokens

Diese Methode ermöglichte es Angreifern, Anmeldeversuche bei E-Mail-Plattformen und Webdiensten zu überwachen, einschließlich solcher, die Microsoft Outlook im Web und andere, nicht von Microsoft gehostete Systeme betrafen.

Globale Reichweite und strategische Ausrichtung

Die Kampagne weitete sich im Laufe der Zeit deutlich aus. Obwohl sie im Mai 2025 zunächst in begrenztem Umfang begann, eskalierten die Ausnutzungsversuche bis Anfang August. Auf ihrem Höhepunkt im Dezember 2025 wurden mehr als 18.000 eindeutige IP-Adressen in mindestens 120 Ländern beobachtet, die mit der von Angreifern kontrollierten Infrastruktur kommunizierten.

Zu den Hauptzielen gehörten:

  • Regierungsinstitutionen wie Außenministerien und Strafverfolgungsbehörden
  • Drittanbieter für E-Mail- und Cloud-Dienste
  • Organisationen in Nordafrika, Mittelamerika, Südostasien und Europa

Mehr als 200 Organisationen und rund 5.000 Endgeräte waren betroffen, was das Ausmaß und die Reichweite der Aktion verdeutlicht.

Ausgenutzte Schwachstellen und Infrastrukturtaktiken

Die Angreifer nutzten bekannte Sicherheitslücken aus, um sich Zugang zu Netzwerkgeräten zu verschaffen. Insbesondere TP-Link WR841N-Router wurden mithilfe von CVE-2023-50224 angegriffen, einer Schwachstelle, die die Authentifizierung umging und die Extraktion von Anmeldeinformationen über speziell präparierte HTTP-GET-Anfragen ermöglichte.

Zusätzlich wurde ein sekundärer Infrastrukturcluster identifiziert, der für die Weiterleitung des DNS-Verkehrs von kompromittierten Routern an entfernte, von Angreifern kontrollierte Server verantwortlich war. Dieser Cluster führte außerdem gezielte, interaktive Operationen gegen ausgewählte MikroTik-Router durch, insbesondere in der Ukraine.

Fortgeschrittene Spionage durch Kompromittierung von Endgeräten

Diese Kampagne markiert eine bedeutende Weiterentwicklung der operativen Taktiken von APT28. Erstmals hat die Gruppe die Fähigkeit demonstriert, DNS-Hijacking in großem Umfang durchzuführen, um AitM-Angriffe gegen TLS-Verbindungen (Transport Layer Security) zu ermöglichen.

Durch die Kompromittierung von Edge-Geräten, die oft weniger gut überwacht werden als Unternehmenssysteme, erlangten Angreifer Einblick in den Netzwerkverkehr. Diese strategische Positionierung ermöglichte es ihnen, wertvolle Ziele zu identifizieren und sich gezielt auf Personen oder Organisationen zu konzentrieren, die für den Nachrichtendienst von Interesse waren.

Die Operation wird als opportunistisch eingestuft; zunächst wird ein breites Netz ausgeworfen, und die Ziele werden dann schrittweise auf der Grundlage des Wertes der abgefangenen Daten eingegrenzt.

Betriebsstörungen und anhaltende Risiken

Die schädliche Infrastruktur von FrostArmada wurde durch eine koordinierte Aktion des US-Justizministeriums, des FBI und internationaler Partner zerschlagen. Trotz dieses Erfolgs verdeutlichen die angewandten Techniken die weiterhin bestehenden Risiken ungesicherter Netzwerkgeräte.

Während sich die Kampagne primär auf die Informationsbeschaffung konzentrierte, birgt die Nutzung von AitM-Positionierung weitreichendere Gefahren. Ein solcher Zugriff könnte zusätzliche schädliche Aktivitäten ermöglichen, darunter die Verbreitung von Schadsoftware oder Denial-of-Service-Angriffe, wodurch die potenziellen Auswirkungen auf die angegriffenen Organisationen erheblich steigen würden.

Fazit: Ein Weckruf für die Netzwerksicherheit

Die FrostArmada-Kampagne unterstreicht die entscheidende Bedeutung der Absicherung von Edge-Geräten in Netzwerkumgebungen. Die Ausnutzung von Schwachstellen in Routern und der DNS-Infrastruktur bietet Angreifern ein leistungsstarkes und unauffälliges Mittel zur Überwachung, das häufig herkömmliche Sicherheitsvorkehrungen umgeht.

Organisationen und Einzelpersonen müssen gleichermaßen der korrekten Konfiguration, dem rechtzeitigen Einspielen von Patches und der kontinuierlichen Überwachung von Netzwerkgeräten Priorität einräumen, um die von solchen hochentwickelten Bedrohungsakteuren ausgehenden Risiken zu mindern.

Im Trend

Am häufigsten gesehen

Wird geladen...