В результаті скоординованої міжнародної операції, проведеної правоохоронними органами спільно з провідними компаніями у сфері кібербезпеки, було успішно припинено діяльність кіберкампанії під назвою "FrostArmada". Ця кампанія, пов'язана з відомою російською державною хакерською групою APT28 (також відомою як Fancy Bear, Strontium), була спрямована на викрадення облікових даних користувачів Microsoft 365. Зловмисники використовували складну техніку перехоплення DNS-трафіку на скомпрометованих маршрутизаторах виробництва MikroTik та TP-Link.
Суть атаки полягала у модифікації налаштувань DNS на вразливих роутерах. Після компрометації пристрою, APT28 змінювала стандартні DNS-сервери на власні шкідливі. Це дозволяло перенаправляти трафік користувачів, які намагалися отримати доступ до сервісів Microsoft, на підроблені фішингові сторінки, що імітували легітимні портали входу Microsoft 365. Таким чином, жертви несвідомо вводили свої логіни та паролі на контрольованих зловмисниками ресурсах, які потім перехоплювалися. Цей метод є особливо небезпечним, оскільки він обходить стандартні заходи безпеки на кінцевих пристроях, атакуючи мережеву інфраструктуру безпосередньо.
Ця кампанія становить серйозну загрозу для широкого кола користувачів, особливо для організацій та приватних осіб, які використовують маршрутизатори MikroTik та TP-Link, а також активно працюють з обліковими записами Microsoft 365. Враховуючи історію APT28, їхніми основними цілями часто є:
- Урядові установи та державні організації.
- Оборонний сектор та військові структури.
- Організації критичної інфраструктури.
- Дипломатичні місії та міжнародні організації.
- Компанії, що працюють у сфері IT та кібербезпеки.
Українські організації та державні установи, безумовно, перебувають у зоні підвищеного ризику, враховуючи постійну агресію та кібератаки з боку російських хакерських груп.
Для захисту від подібних атак Cyber Index UA рекомендує наступні заходи:
- Оновлення прошивки роутерів: Регулярно перевіряйте та встановлюйте останні оновлення прошивки для ваших маршрутизаторів MikroTik та TP-Link. Виробники постійно випускають патчі для відомих вразливостей.
- Зміна стандартних облікових даних: Негайно змініть стандартні логіни та паролі доступу до адміністративної панелі роутера на складні, унікальні комбінації.
- Двофакторна автентифікація (MFA): Завжди вмикайте MFA для всіх облікових записів Microsoft 365. Це значно ускладнює доступ зловмисникам, навіть якщо вони отримали ваш пароль.
- Перевірка налаштувань DNS: Періодично перевіряйте налаштування DNS-серверів на вашому роутері. Вони мають бути встановлені на сервери вашого провайдера або на довірені публічні DNS (наприклад, Google DNS 8.8.8.8, Cloudflare 1.1.1.1).
- Уважність до URL-адрес: Завжди перевіряйте URL-адресу сайту перед введенням облікових даних. Фішингові сторінки часто мають схожі, але не ідентичні домени.
- Сегментація мережі: Для корпоративних користувачів розгляньте можливість сегментації мережі для ізоляції критично важливих систем.