- 26,153
- 46
- 8 Ноя 2022
Аналитики из Infrawatch активно собирают улики против взломщиков из APT28.
Домашний роутер редко кажется слабым звеном, пока через него не начинают тихо перенаправлять трафик и подменять привычные маршруты в сети. На этом фоне компания Infrawatch запустила бесплатный онлайн-сервис , который помогает быстро проверить, мог ли роутер попасть в инфраструктуру, связанную с группировкой APT28 и их ботнетом FrostArmada .
Сервис доступен на отдельной странице Infrawatch и принимает публичный IP-адрес или диапазон адресов в формате CIDR. После проверки площадка показывает, встречался ли адрес в наборе данных, связанном с предупреждением британского Национального центра кибербезопасности от 7 апреля 2026 года. Компания сразу оговаривает, что инструмент не гарантирует стопроцентную точность, а сам набор данных обновляется каждый час.
Поводом для запуска сервиса стало раскрытие схемы, в которой APT28 использовала уязвимые роутеры для перехвата DNS-запросов и атак посредника. Британский NCSC сообщил, что злоумышленники меняли настройки DNS и перенаправляли трафик через подконтрольные узлы, чтобы перехватывать пароли и токены аутентификации. Американские ведомства также связали кампанию с сетью взломанных домашних и офисных роутеров, которую недавно ликвидировали правоохранители.
Infrawatch отдельно указывает, что выявила около 18,6 тысячи вероятных жертв кампании. По данным Black Lotus Labs, сеть FrostArmada на пике охватывала примерно 18 тысяч устройств в 120 странах и использовалась в интересах Forest Blizzard, под которым также известна APT28. На практике новый сервис даёт владельцам домашних роутеров и небольших сетей быстрый способ понять, требует ли устройство срочной проверки настроек и обновления защиты.
Домашний роутер редко кажется слабым звеном, пока через него не начинают тихо перенаправлять трафик и подменять привычные маршруты в сети. На этом фоне компания Infrawatch запустила бесплатный онлайн-сервис , который помогает быстро проверить, мог ли роутер попасть в инфраструктуру, связанную с группировкой APT28 и их ботнетом FrostArmada .
Сервис доступен на отдельной странице Infrawatch и принимает публичный IP-адрес или диапазон адресов в формате CIDR. После проверки площадка показывает, встречался ли адрес в наборе данных, связанном с предупреждением британского Национального центра кибербезопасности от 7 апреля 2026 года. Компания сразу оговаривает, что инструмент не гарантирует стопроцентную точность, а сам набор данных обновляется каждый час.
Поводом для запуска сервиса стало раскрытие схемы, в которой APT28 использовала уязвимые роутеры для перехвата DNS-запросов и атак посредника. Британский NCSC сообщил, что злоумышленники меняли настройки DNS и перенаправляли трафик через подконтрольные узлы, чтобы перехватывать пароли и токены аутентификации. Американские ведомства также связали кампанию с сетью взломанных домашних и офисных роутеров, которую недавно ликвидировали правоохранители.
Infrawatch отдельно указывает, что выявила около 18,6 тысячи вероятных жертв кампании. По данным Black Lotus Labs, сеть FrostArmada на пике охватывала примерно 18 тысяч устройств в 120 странах и использовалась в интересах Forest Blizzard, под которым также известна APT28. На практике новый сервис даёт владельцам домашних роутеров и небольших сетей быстрый способ понять, требует ли устройство срочной проверки настроек и обновления защиты.
- Источник новости
- www.securitylab.ru
