打开网易新闻 查看精彩图片

你家里的路由器,可能正在帮俄罗斯情报部门打工。

微软威胁情报中心最新披露,一个代号"森林暴雪"(Forest Blizzard)的俄军事关联黑客组织,自2025年8月起发起大规模攻击,已控制超过5000台家用及小型办公路由器,构建起一套隐蔽的DNS劫持网络。这不是针对企业的定向入侵,而是把千家万户的客厅变成了情报收集节点。

攻击规模:从客厅到非洲政府服务器

攻击规模:从客厅到非洲政府服务器

微软确认,已有200多个组织确认受害,波及政府、IT、电信、能源等关键领域。攻击链条的起点却异常普通——你家那台用了三年的路由器。

森林暴雪的技术路径堪称"寄生式":先攻破防护薄弱的家用路由器,静默修改其DNS解析配置,将流量导向俄方控制的服务器。由于手机、电脑等终端设备通过DHCP(动态主机配置协议)自动继承路由器设置,用户毫无感知,所有域名查询请求就已流入俄情报基础设施。

微软评估其高度依赖dnsmasq——一款内置于多数家用路由器的开源DNS转发工具。这本是为小型网络设计的轻量组件,却被 repurposing(重新利用)成大规模监听入口。攻击者无需植入恶意软件,不必突破终端防护,只需坐在路由器上游,就能被动观测数千名受害者的完整网络活动轨迹。

更隐蔽的是,这种手法几乎不触发传统安全告警。没有异常进程,没有文件落地,只有DNS请求被悄然重定向——对普通用户而言,网页照样打开,视频照常播放,区别仅在于"谁在看你访问了什么"。

升级手段:从"看名单"到"拆信封"

升级手段:从"看名单"到"拆信封"

对高价值目标,森林暴雪会启动第二层攻击:Adversary-in-the-Middle(AiTM,中间人对抗)攻击,直接截获TLS加密通信。

微软证实,这种升级攻击已针对微软Outlook网页版域名,以及至少三个非洲国家的非微软政府服务器实施。攻击流程是:先通过DNS劫持将目标导向伪造服务器,再利用恶意证书剥离TLS加密层,最终获取明文通信内容。

这意味着什么?当你在家登录公司邮箱,或非洲某国官员通过政府系统传输文件时,攻击者不仅能看到"你访问了outlook.com",还能直接读取邮件正文、附件、甚至后续的身份验证凭据。

微软强调,此次事件中没有任何微软自有资产或服务被攻破。攻击针对的是客户终端与微软服务之间的通信通道——相当于邮差没撬开邮局,而是在你家门口截走了信件。

森林暴雪的战术呈现明显的分层特征:对普通家用路由器维持被动DNS收集,对高价值组织才激活AiTM解密。这种"按需升级"的模式,反映出俄军事情报部门一贯的纪律性——资源集中投放,避免过早暴露高级能力。

组织画像:APT28的"外包子公司"

组织画像:APT28的"外包子公司"

森林暴雪在业界更广为人知的代号是APT28或Strontium,被多国情报机构认定为俄总参谋部情报总局(GRU)第26165单位的网络作战分支。该组织自2000年代中期活跃,2016年美国大选期间因攻击民主党全国委员会而声名大噪。

此次微软特别指出一个子组织"Storm-2754"的参与——这是微软对新兴威胁活动的临时命名惯例,暗示该子群可能代表GRU内部的任务分工或技术外包。主组织负责基础设施搭建,子组织执行具体目标渗透,这种架构既提升效率,也增加归因难度。

攻击时间线同样值得注意。微软观测到活动始于2025年8月,但DNS劫持类攻击的潜伏期往往以年计——实际感染规模可能远超当前确认的5000台。家用路由器的更换周期通常为3-5年,大量老旧设备仍在运行未修补的固件,成为理想的"长期据点"。

目标选择也符合GRU的战略偏好:非洲政府服务器指向地缘政治影响力投射,能源和电信部门关乎关键基础设施情报,IT企业则提供供应链攻击的潜在跳板。微软指出,这些 sector(行业)"历史上始终与俄军事情报收集优先事项保持一致"。

防御困境:谁该为客厅里的漏洞负责?

防御困境:谁该为客厅里的漏洞负责?

这起事件暴露出一个长期被忽视的攻击面。企业级网络有专职安全团队、入侵检测系统、零信任架构,而家用路由器长期处于"无人看管"状态——用户不更新固件,厂商不提供长期支持,ISP(互联网服务提供商)默认配置宽松。

dnsmasq这类组件的设计初衷是"简单可靠",而非"安全加固"。它默认监听所有接口,缺乏认证机制,配置修改往往不需要管理员权限。当攻击者突破路由器管理界面——通常通过默认密码或已知漏洞——整个网络的DNS信任链瞬间崩塌。

微软建议的缓解措施包括:在路由器启用DNS over HTTPS(DoH)或DNS over TLS(DoT)加密,强制终端忽略路由器的DNS配置,以及部署网络层DNS监控。但这些方案对普通用户的技术门槛过高,对企业远程办公场景的管理成本也不容小觑。

更深层的矛盾在于责任归属。路由器厂商追求低成本快速上市,用户缺乏安全意识,ISP不愿承担支持负担,政府监管滞后于威胁演进——四方博弈的结果,就是GRU能以近乎工业化的效率,将消费级设备转化为国家级情报资产。

微软此次披露的特殊之处在于:这是首次观察到森林暴雪系统性部署AiTM攻击。此前该组织以鱼叉式钓鱼、零日漏洞利用著称,如今转向"基础设施寄生"模式,可能反映其战术进化,也可能暗示更广泛的俄网络战资源重组。

当你的路由器成为情报战的前线阵地,防御边界该如何重新定义?企业安全团队能否有效管控员工家庭网络?厂商和用户之间的安全责任,又该由谁来强制执行?