2025年8月,一个普通的美国家庭路由器被静默改写。没人注意到配置页面的微小变动——DNS服务器地址从ISP默认的8.8.8.8,变成了莫斯科某数据中心的IP。这个场景在全球至少5000个家庭和小型办公室重复上演。
微软威胁情报团队本周披露,俄罗斯军方关联组织Forest Blizzard(APT28)正在发动一场规模罕见的DNS劫持行动。攻击目标不是企业防火墙,而是你家客厅角落那个积灰的塑料盒子。该组织直接服务于俄罗斯政府的外交政策和情报目标,此次行动已渗透200余家组织和5000余台消费级设备。
攻击链:从路由器到你的邮箱
Forest Blizzard的入侵路径堪称"低投入高回报"的教科书案例。他们首先扫描互联网上存在默认凭证或已知漏洞的SOHO(小型办公室/家庭办公室)路由器,获取未授权访问后,静默替换设备的DNS解析器配置。
这里需要解释DNS(域名系统)的工作机制。当你输入outlook.com,设备需要把人类可读的域名翻译成机器可读的IP地址。正常情况下,这个查询会流向ISP或公共DNS服务器。但在被劫持的路由器网络中,所有查询先经过黑客控制的dnsmasq服务器——这是一款合法、轻量级的DNS转发工具,内置于多数家用路由器,如今被 repurposed(重新利用)为监听端口53的流量拦截器。
微软评估认为,Forest Blizzard高度确信正在利用dnsmasq实现这一层拦截。由于DHCP(动态主机配置协议)的自动继承特性,任何接入该路由器的笔记本、手机、工作站都会"自愿"将DNS请求提交给俄情报基础设施。受害者毫无感知,安全软件也不会报警——毕竟从设备视角看,一切配置都"正常"。
这种攻击的阴险之处在于:它不触碰终端设备,不留传统恶意软件痕迹,却能完整记录你访问的每一个网站。
微软确认,其自有资产和服务未被入侵。但Outlook网页版已成为明确攻击目标之一,另有至少三个非洲国家的政府服务器遭受同类攻击。
升级:从偷看到动手脚
对于高价值目标,Forest Blizzard没有止步于被动监听。他们部署了AiTM( adversary-in-the-middle,中间人攻击)技术,针对TLS(传输层安全协议)加密连接实施主动干预。
TLS本应是保护HTTPS流量的铜墙铁壁——浏览器与服务器协商密钥,建立加密隧道,第三方只能看到乱码。但AiTM攻击通过伪造证书、剥离加密层,让黑客得以读取甚至篡改通信内容。
微软观察到,这种TLS层面的攻击呈现明显的选择性。数千台被劫持路由器中,仅特定组织的流量被标记为"高优先级"并触发AiTM模块。这种分层利用策略反映出俄情报机构的纪律性:基础设施批量铺设,精确打击按需激活。
受影响领域涵盖政府、IT、电信、能源——与俄罗斯军事情报的历史收集优先级高度吻合。
为什么是路由器?
SOHO设备长期位于网络安全的食物链底端。厂商利润率薄,固件更新 sporadic(零星),用户更是极少主动检查配置。一台2019年出厂的路由器,可能仍在运行存在已知漏洞的dnsmasq版本,管理员密码还是出厂默认的"admin/admin"。
Forest Blizzard深谙此道。他们不需要零日漏洞,不需要钓鱼邮件,只需要扫描Shodan等公开搜索引擎就能定位的脆弱设备。这种"捡漏"式攻击的成本,远低于渗透企业级下一代防火墙。
微软指出,这是首次观察到Forest Blizzard系统性部署此类路由器劫持基础设施。该组织此前更以鱼叉式钓鱼和供应链攻击闻名,如今转向大规模自动化入侵,可能反映其任务优先级或资源分配的变化。
从防御视角看,这场攻击暴露了网络架构的结构性软肋。我们习惯于在终端设备堆叠安全软件,却默认信任网关设备的完整性。一旦路由器失守,下游所有防护形同虚设——这是"信任边界"设计的经典失效案例。
微软建议企业审查远程办公人员的家庭网络配置,强制启用DNS over HTTPS(DoH)等加密查询机制,并监控异常的DNS解析行为。但对普通消费者而言,更换路由器默认密码、及时更新固件、检查DNS设置是否被篡改,仍是少数可行的自保手段。
这场持续数月的静默劫持仍在进行。你的路由器DNS设置,最后一次检查是什么时候?
热门跟贴