Routerek célkeresztben: így működött a FrostArmada
A támadók főként MikroTik és TP-Link routereket fertőztek meg szerte a világban, de bizonyos tűzfalmegoldások, például régebbi Fortinet-eszközök is áldozatul estek. A hekkercsoport – más néven ismert APT28, Fancy Bear vagy Forest Blizzard – a feltört routereket saját szervereire irányította át, ahol azok hamis DNS-beállításokat kaptak a Dynamic Host Configuration Protocol (DHCP) révén. Ennek köszönhetően a routerhez csatlakozó összes eszköz rossz helyre küldte a hitelesítési kéréseket.
Az áldozat számára az egyetlen árulkodó jel egy gyanús, érvénytelen tanúsítványra figyelmeztető üzenet lehetett volna, amelyet azonban sokan figyelmen kívül hagytak. A támadók úgynevezett „ember a középen” proxy-szolgáltatást működtettek: minden hitelesítési adatot a saját szervereiken keresztül irányítottak, így megszerezték a felhasználóneveket, jelszavakat, sőt az OAuth-tokeneket is.
18 000 fertőzött eszköz, támadások globális hulláma
2025 decemberében a FrostArmada csúcspontján már 18 000 router volt az ellenőrzésük alatt, 120 országban – köztük afrikai, közép-amerikai, délkelet-ázsiai és európai kormányzati szervezetek is érintettek voltak. A támadók nem válogattak: a támadások első hullámáért egy úgynevezett Expansion Team felelt, amely felépítette a botnetet, míg egy másik csoport gyűjtötte össze az ellopott hitelesítési adatokat.
A Lumen Black Lotus Labs kutatói szerint ugrásszerűen megnőtt a támadások száma 2025 augusztusa után, amikor a brit kiberbiztonsági központ felfedte az APT28 csoport támadási eszköztárát.
Mit lehet tenni ellene?
A Microsoft, a Black Lotus Labs, az FBI, az Egyesült Államok Igazságügyi Minisztériuma és a lengyel kormány közös erővel számolta fel a támadók infrastruktúráját. Védelmi lépésként javasolt a tanúsítványrögzítés vállalati eszközökön, amely azonnal hibát jelezne, ha a hekkerek megpróbálnák elemezni a forgalmat. Emellett fontos a rendszeres frissítés és minden elavult eszköz eltávolítása. Az incidens rávilágít a vállalati és otthoni hálózatok sebezhetőségére, különösen elavult routerek és tűzfalak esetén.
A FrostArmada elleni fellépés jó példa arra, milyen fontos az összefogás technológiai cégek, kutatók és hatóságok között a korszerű fenyegetésekkel szemben. Ha nem veszünk tudomást a figyelmeztetésekről, a hekkerek könnyedén hozzáférhetnek adatainkhoz – különösen, ha a routerünk nem naprakész.
