กลุ่ม APT28 (หรือ Forest Blizzard) ที่เชื่อมโยงกับรัสเซีย ถูกเปิดเผยว่าได้ดำเนินแคมเปญใหม่ที่แฮกเราเตอร์ MikroTik และ TP-Link ที่ไม่ปลอดภัย และปรับเปลี่ยนการตั้งค่าเพื่อเปลี่ยนให้กลายเป็นโครงสร้างพื้นฐานที่เป็นอันตรายภายใต้การควบคุมของพวกเขา ตั้งแต่เดือนพฤษภาคม 2025 เป็นอย่างน้อย แคมเปญนี้มีชื่อรหัสว่า FrostArmada โดย Lumen’s Black Lotus Labs โดย Microsoft อธิบายว่าเป็นการใช้ประโยชน์จากอุปกรณ์อินเทอร์เน็ตในบ้านและสำนักงานขนาดเล็ก (SOHO) ที่มีช่องโหว่ เพื่อแย่งชิงการรับส่งข้อมูล DNS และเปิดโอกาสให้เก็บข้อมูลเครือข่ายแบบ passive

โครงสร้างพื้นฐานที่เกี่ยวข้องกับแคมเปญนี้ได้ถูกขัดขวางและปิดตัวลงแล้ว จากการดำเนินการร่วมกับกระทรวงยุติธรรมสหรัฐฯ, FBI และพันธมิตรระหว่างประเทศอื่นๆ กิจกรรมนี้ประเมินว่าเริ่มต้นมาตั้งแต่เดือนพฤษภาคม 2025 ในขอบเขตจำกัด ก่อนจะขยายไปสู่การแฮกเราเตอร์และการเปลี่ยนเส้นทาง DNS อย่างกว้างขวางในต้นเดือนสิงหาคม โดยในช่วงพีคในเดือนธันวาคม 2025 พบว่ามีที่อยู่ IP มากกว่า 18,000 รายการจากไม่น้อยกว่า 120 ประเทศที่สื่อสารกับโครงสร้างพื้นฐานของ APT28

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• APT28 – กลุ่มภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับรัฐบาลรัสเซีย
• DNS hijacking – การแย่งชิงการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี
• SOHO router – เราเตอร์สำหรับบ้านและสำนักงานขนาดเล็ก
• AitM (Attacker-in-the-Middle) – การโจมตีที่ผู้โจมตีแทรกตัวอยู่ระหว่างการสื่อสารของสองฝ่าย
• OAuth token – โทเค็นที่ใช้ในการยืนยันตัวตนและอนุญาตการเข้าถึงบริการ
• TLS (Transport Layer Security) – โปรโตคอลความปลอดภัยสำหรับการเข้ารหัสการสื่อสารทางอินเทอร์เน็ต