你家路由器多久没重启过?安全公司Lumen Technologies的Black Lotus Labs周二发布报告:俄罗斯军事情报机构GRU下属的黑客组织APT28,已经控制了全球1.8万至4万台家用及小型办公路由器。这些设备分布在120个国家,大多数是MikroTik和TP-Link的老旧型号。
这不是普通的僵尸网络。攻击者修改了路由器的DNS设置,把用户导向恶意服务器,专门窃取微软365等服务的登录凭证。你的设备看起来正常联网,实际上所有流量都经过了"中间人"的过滤。
一个被低估的入口:为什么路由器成了香饽饽
路由器是家庭网络里最常被忽视的设备。很多人买来插上就用,几年不更新固件。APT28正是钻了这个空子——他们专门扫描存在已知漏洞但未打补丁的老型号,批量入侵后修改DNS配置。
攻击手法并不新鲜。通过动态主机配置协议(DHCP),恶意DNS设置会被自动推送到所有连接设备。用户毫无感知,手机、电脑、平板就全部"中毒"。
微软在同期报告中确认,APT28(该组织也被称为Forest Blizzard、STRONTIUM等)针对的域名包括微软365服务。攻击者部署了自签名证书的服务器,用户若忽略浏览器安全警告继续访问,所有流量就会被完整捕获。
OAuth令牌、多因素认证后的会话凭证——这些本该保护账户的安全措施,在"中间人攻击"面前形同虚设。用户以为自己完成了安全登录,实际上把钥匙交给了攻击者。
从家用路由到政府网络:一条隐蔽的跳板链
真正值得警惕的是攻击者的目标选择。Black Labs研究人员发现,被劫持的家用路由器只是第一层。其中一小部分被精选出来作为代理节点,连接到数量多得多的"高价值目标"——外国政府部门、执法机构、外交部的路由器。
这种架构像极了间谍小说里的"死信箱":家用路由器提供合法IP掩护,让针对政府网络的后续渗透难以追溯。GRU运营APT28至少二十年,手法早已成熟。
该组织过往战绩包括 dozens of high-profile hacks targeting governments worldwide。他们擅长混合使用尖端工具与经典手段——报告中提到其使用名为"LAMEHUG"的大语言模型(LLM)辅助攻击,同时也乐于重复使用已被曝光的老方法。
「Known for blending cutting-edge tools such as the large language model (LLM) 'LAMEHUG' with proven, longstanding techniques, Forest Blizzard consistently evolves its tactics to stay ahead of defenders,」Black Lotus研究人员写道。这种"新旧混搭"让防御方疲于应对。
补丁经济学:为什么漏洞永远修不完
攻击的核心前提是"未修补的已知漏洞"。这五个字道尽了安全行业的尴尬——漏洞公开了,补丁发布了,但设备永远不会更新。
路由器厂商的更新机制是第一道坎。MikroTik和TP-Link虽提供固件升级,但用户需要主动登录管理后台操作。对非技术人员来说,这个界面堪比飞机驾驶舱。自动更新?在消费级路由器市场仍是稀缺功能。
设备寿命则是第二道坎。一台路由器往往服役五到八年,厂商的支持周期却短得多。型号停产,补丁停更,漏洞永久留存。攻击者手里握有漏洞武器库,专挑这些"电子遗产"下手。
更隐蔽的问题在于DNS劫持的检测难度。普通用户发现网页打开慢,第一反应是重启路由器或抱怨运营商。很少有人会检查DNS设置是否被篡改,更不可能发现流量被代理到了境外服务器。
防御的困境:个人能做什么,边界在哪里
微软和Lumen的报告都给出了标准建议:及时更新固件、更换默认管理员密码、启用路由器防火墙、对异常证书警告保持警惕。这些措施有效,但依赖用户主动性。
企业级防御方案存在,但成本悬殊。一台支持自动安全更新、具备DNSSEC验证的企业路由器,价格可能是家用设备的十倍以上。对普通家庭和小型办公室来说,这笔账很难算得过来。
报告披露的一个细节耐人寻味:攻击者使用的自签名证书需要用户"点击通过"浏览器警告才能生效。这意味着,如果所有人对安全提示零容忍——看到警告立即关闭页面——攻击链条就会断裂。
但现实是,警告疲劳普遍存在。证书错误、混合内容、过期的安全协议——用户每天面对太多技术噪音,练就了"点掉再说"的肌肉记忆。
APT28此次行动规模在1.8万至4万台之间,数字跨度本身说明精确统计的困难。这些路由器仍在运行,DNS劫持可能仍在发生,只是受害者浑然不觉。你的网络流量最近有没有经过莫斯科中转?这个问题,恐怕没有简单答案。
热门跟贴