Mit Unterstützung des FBI, des US-Justizministeriums und der polnischen Regierung wurde die schädliche Infrastruktur vom Netz genommen. Angegriffen wurden über das Internet erreichbare Router, in erster Linie von MikroTik und TP-Link, daneben einige Firewall-Produkte von Nethesis und ältere Fortinet-Modelle.
Nach der Kompromittierung kommunizierten die Geräte mit der Infrastruktur der Angreifer und erhielten geänderte DNS-Konfigurationen, die den Verkehr auf bösartige VPS-Knoten umleiteten. Die neuen DNS-Einstellungen wurden über das Dynamic Host Configuration Protocol (DHCP) automatisch an interne Geräte verteilt. Fragten Clients dann authentifizierungsbezogene Domains ab, lieferte der DNS-Server statt der echten Adresse die IP-Adresse der Angreifer zurück und leitete die Opfer auf einen Adversary-in-the-Middle-Proxy (AitM) um.
Das einzige sichtbare Anzeichen für die Opfer war eine Warnung vor einem ungültigen TLS-Zertifikat, die sich leicht wegklicken ließ. Wurde sie ignoriert, erhielten die Angreifer Zugriff auf die unverschlüsselte Kommunikation. „Der Akteur betrieb im Grunde einen Proxy-Dienst als AitM, zu dem der Nutzer per DNS geleitet wurde“, erklären die Forscher von Black Lotus Labs. Das einzige Zeichen sei eine Warnmeldung über die Verbindung zu einer nicht vertrauenswürdigen Quelle gewesen; wurde sie weggeklickt, habe der Akteur die Anfragen an die legitimen Dienste weitergereicht, die Daten am Zwischenpunkt mitgeschnitten und über das gültige OAuth-Token an die Konteninformationen gelangt. In manchen Fällen fälschten die Angreifer laut einem heutigen Microsoft-Bericht auch gezielt DNS-Antworten für bestimmte Domains.
Laut Lumen war FrostArmada in zwei Cluster geteilt: ein „Expansion team“ für die Kompromittierung von Geräten und das Wachstum des Botnetzes sowie ein zweites für die AitM- und Zugangsdaten-Operationen. Die Aktivität nahm demnach stark zu, nachdem das britische National Cyber Security Centre (NCSC) in diesem Jahr über ein Forest-Blizzard-Werkzeug berichtet hatte, das auf Microsoft-Zugangsdaten und -Tokens zielte.
Microsoft bestätigte AitM-Angriffe gegen Domains des Dienstes Microsoft 365, wobei auch Subdomains für Outlook im Web betroffen waren. Zudem beobachtete das Unternehmen die Aktivität auf Servern dreier Regierungsorganisationen in Afrika, die nicht auf Microsoft-Infrastruktur lagen. Black Lotus Labs sah Angriffe auf Einrichtungen mit lokalen E-Mail-Servern sowie auf eine kleine Zahl von Regierungsorganisationen in Nordafrika, Mittelamerika und Südostasien; es gebe zudem eine Verbindung zu einer nationalen Identitätsplattform in einem europäischen Land. Das NCSC geht davon aus, dass das DNS-Hijacking opportunistisch erfolgte, um einen großen Pool potenzieller Ziele aufzubauen und daraus die interessanten herauszufiltern.
Black Lotus Labs hat einen kleinen Satz von Kompromittierungsindikatoren für die genutzten VPS-Server veröffentlicht. Verteidigern empfehlen die Forscher Certificate Pinning für über eine MDM-Lösung verwaltete Firmengeräte, das beim Abfangversuch einen Fehler auslöst, sowie eine Verkleinerung der Angriffsfläche durch Patches, weniger öffentliche Exposition und das Entfernen von Altgeräten. Auch Microsoft und das NCSC stellen Indikatoren und Schutzhinweise bereit.
