打开网易新闻 查看精彩图片

8月,微软安全团队追踪到一个异常信号:全球数千台家用路由器正在悄悄把用户的网页浏览记录,定向转发到莫斯科某处数据中心。这不是科幻片开场,是俄罗斯军事情报单位APT28(代号Forest Blizzard)正在进行的实况直播。

攻击规模已经成型:200多个组织机构、至少5000台消费级设备沦陷,覆盖政府、能源、电信等关键领域。最讽刺的是,受害者几乎毫无察觉——他们的网速没变慢,视频照刷,邮件照发,只是每次输入网址时,查询请求都先绕了一趟俄罗斯

路由器:被忽视的"数字看门人"

SOHO路由器(小型办公/家庭办公路由器)是这次攻击的突破口。这类设备通常由宽带运营商赠送或用户自行购买,价格从几十到几百元不等,安全更新却往往是"一锤子买卖"——出厂后几乎不再维护。

微软威胁情报团队发现,Forest Blizzard自2025年8月起系统性地扫描这些设备的漏洞。攻击者不需要什么高级手段:弱密码、未修补的固件漏洞、默认管理界面暴露在外网,任选其一就能拿到路由器的管理员权限。

拿到权限后,操作极其隐蔽。攻击者修改的不是什么显眼配置,而是DNS解析器设置——这个技术细节普通用户一辈子不会主动查看。DNS(域名系统)相当于互联网的"电话簿",把人类可读的网址(如outlook.com)翻译成机器能识别的IP地址。

Forest Blizzard把路由器的默认DNS服务器,替换成了自己控制的恶意节点。这一步的精妙之处在于:它利用了DHCP(动态主机配置协议)的自动分发机制。所有接入该路由器的手机、电脑、平板,都会自动继承这个"毒配置",无需对每台终端设备单独下手。

微软评估认为,攻击者大概率利用了dnsmasq——一款内置于大量家用路由器的开源DNS转发工具。这个原本合法的组件被重新配置后,开始在53端口监听并拦截所有DNS查询。对终端用户来说,网页照样能打开,只是每次查询都经过了攻击者的"过路费"收费站。

从"偷看地址簿"到"拆封加密信件"

从"偷看地址簿"到"拆封加密信件"

被动收集DNS查询已经能让攻击者勾勒出目标的数字生活轮廓:访问了哪些云服务、使用哪家邮件提供商、常去什么内部系统。但Forest Blizzard的胃口不止于此。

针对高价值目标——微软确认了至少三个非洲国家的政府服务器,以及Microsoft Outlook网页版——攻击者升级到了AiTM攻击(Adversary-in-the-Middle, adversary-in-the-middle/中间人攻击)。

TLS(传输层安全协议)加密通信本该是安全的。正常情况下,你的浏览器和服务器之间建立加密隧道,中间人只能看到乱码。但DNS劫持为攻击者打开了一条侧门:他们可以伪造目标网站的证书,诱导用户连接到一个由攻击者控制的代理节点。

用户以为自己正在登录outlook.com,实际上流量先流经了俄罗斯情报基础设施。攻击者能实时读取邮件内容、截取附件、记录登录凭证,而浏览器地址栏里那把"小锁"图标可能依然亮着——因为攻击者可以签发看似合法的证书,或者利用某些客户端的证书验证缺陷。

微软强调,此次事件中没有微软自有资产或服务被直接入侵。言下之意:是用户的网络接入路径被污染,而非微软的服务器本身存在漏洞。这种区分对责任认定很重要,但对受害者来说区别有限——邮件内容照样泄露。

为什么偏偏是家用路由器?

为什么偏偏是家用路由器?

企业级网络有专门的安全团队、入侵检测系统、定期漏洞扫描。家用和小型办公场景则是另一套逻辑:设备便宜、更新滞后、无人值守、安全意识淡薄。

Forest Blizzard的选择体现了一种"成本-收益"的冷酷计算。控制一台企业防火墙可能需要高级零日漏洞和精密的社会工程;控制一台用了五年没更新固件的家用路由器,可能只需要尝试几十个默认密码组合。

更关键的是规模效应。一台被攻陷的路由器背后,可能是整个家庭的数字足迹,或是小型创业公司的全部业务流量。微软观察到的5000台设备只是冰山一角——这些是能确认受害的,实际感染规模可能更大。

攻击者的资源投放也呈现明显的"分层"特征:对普通消费者,止于DNS收集;对政府、能源、电信等"高价值目标",才动用TLS中间人攻击的重量级手段。这种纪律性说明这不是随机犯罪,而是有明确情报收集优先级的国家行为。

微软的应对与未竟之问

微软的应对与未竟之问

微软威胁情报中心(MSTIC)和微软安全响应中心(MSRC)在确认攻击后,采取了典型的"破坏-降级"策略:向受影响的用户和组织直接发出通知,协助清理恶意DNS配置,并推动路由器厂商发布安全更新。

但结构性难题依然存在。SOHO设备的安全生态长期处于"无人负责"状态:运营商觉得设备是用户的,用户觉得是运营商的,厂商卖完硬件就转向下一代产品。微软在报告中特别呼吁,需要建立针对这类设备的持续安全更新机制。

Forest Blizzard的身份已经无需猜测。APT28/Strontium的归属在俄罗斯军事情报总局(GRU)第六局,这个单位的名字在过去十年里与民主党全国委员会邮件泄露、NotPetya勒索软件攻击、奥运会破坏事件等一连串行动联系在一起。

这次行动的新意在于攻击载体的选择。相比钓鱼邮件或软件漏洞,路由器级别的DNS劫持更难被终端安全软件检测——你的杀毒软件运行在电脑上,怎么知道路由器已经把DNS服务器换成了莫斯科的地址?

微软将此次攻击链的完整技术细节和入侵指标(IoC)共享给了网络安全社区,包括恶意DNS服务器的IP地址段、被滥用的证书特征等。这种信息共享是国家背景攻击对抗中的标准动作,但攻防节奏并不对等:防御方需要修补数百万台分散在千家万户的设备,攻击方只需要找到下一个默认密码为"admin"的入口。

一个值得注意的细节是时间线。微软确认攻击活跃期"至少从2025年8月开始",这意味着在公开披露前,这场静默的数据收集已经持续了数月。对于情报机构来说,这种"潜伏期"本身就是价值——观察得越久,绘制的目标画像越完整。

普通用户能做什么?检查路由器管理界面的DNS设置,确认不是陌生的IP地址;启用自动固件更新(如果有的话);考虑使用DoH(DNS over HTTPS)或DoT(DNS over TLS)等加密DNS方案,让路由器层面的劫持更难实施。但这些建议的前提是:用户得先知道问题存在。

微软的报告结尾没有给出乐观的预测。Forest Blizzard的基础设施仍在运行,攻击模式已经被验证有效,而全球SOHO设备的平均安全水平在短期内看不到跃升的可能。下一次当你输入网址时,那个查询请求会经过多少双眼睛,或许连你的路由器都不会告诉你。

你家路由器的DNS设置,上次检查是什么时候?