你家路由器可能是俄罗斯黑客的收费站。英国国家网络安全中心(NCSC)本周更新警告,APT28(Fancy Bear)自2021年起持续劫持家用和小型办公路由器,把用户往钓鱼网站上引。

手法并不复杂:利用漏洞篡改DNS设置,把Outlook等常用服务的访问请求重定向到仿冒页面。用户浑然不觉地输入密码,凭证直接送进GRU口袋。TP-Link被点名,Cisco和MikroTik也中招,后者多数位于乌克兰,显然冲着军事情报去。

NCSC运营总监Paul Chichester表示:「这展示了广泛使用的网络设备漏洞如何被复杂敌对行为者利用。」微软同期披露,超过200家组织和5000台消费设备受影响,APT28真正的目标是上游——先拿下路由器,再渗透企业内网。

讽刺的是,NCSC认为这种持续三年的活动属于"机会主义",并非针对高价值个人。换句话说,你只是路过,但收费站照收不误。2023年4月的旧通报显示,类似攻击曾被用于部署Jaguar Tooth后门。

NCSC的缓解建议很标准:改默认密码、及时打补丁、监控DNS异常。问题是,有多少人会去翻路由器的管理后台?