你输入的是bank.com,打开的却是钓鱼网站。这种把戏不新鲜,但英国国家网络安全中心(NCSC)4月8日的警告显示,攻击者现在连你家路由器都不放过了——全国3400万家庭正在使用的设备,成了俄罗斯情报机构的新猎物。
攻击链:从"路过"到"精准收割"
NCSC把这次行动定性为"机会主义"。攻击者先撒大网,锁定海量目标,再像筛沙子一样层层过滤,最终挑出"有情报价值"的用户。这种打法和APT28(又名Fancy Bear)的风格吻合——该组织被认定"几乎肯定"隶属于俄罗斯情报部门。
APT28这个名字,德国人听了会皱眉。2015年德国议会遭袭,大量机密邮件和议员日程表被盗,正是这伙人的手笔。萨里大学教授Alan Woodward解释:"没人能百分百确认他们替俄罗斯政府干活,但国家层面的攻击往往借 criminal groups 的手套来操作。"
这次的目标很刁钻:边缘设备(edge devices)。路由器、网络摄像头这些"桥接"用户与云端的硬件,通常是家庭网络里最被遗忘的环节。Woodward打了个比方:"它们就像你家前门的锁,但你可能三年都没检查过锁芯有没有生锈。"
一旦路由器沦陷,攻击者能做三件事:一、窃取你的登录凭证;二、把银行网站替换成高仿假货;三、以此为跳板,扫描你家里的手机、电脑有没有漏洞。
Woodward的原话很直白:"你以为自己在进银行,其实被带到了别的地方。"这种DNS劫持+钓鱼的组合拳,对用户来说几乎无感知——页面长得一样,网址栏也可能被伪造得足够像。
美国先动手了:全面封杀外国产路由器
英国发警告的同一个月,美国联邦通信委员会(FCC)直接掀桌:禁止销售所有境外制造的 consumer-grade 路由器。理由写得毫不含糊——"对美国国家安全构成不可接受的风险"。
FCC的指控清单包括:攻击美国家庭、破坏网络、协助间谍活动、窃取知识产权。声明里提到,"外国制造的路由器已卷入多起针对美国基础设施的网络攻击"。
这条禁令的覆盖范围极广。市面上主流的消费级路由器品牌,供应链几乎都在亚洲。FCC此举相当于把硬件层面的信任问题摆上了台面:当设备固件可以被远程更新,谁控制更新服务器,谁就掌握了数千万家庭的网络入口。
英美两国的动作时间线耐人寻味。NCSC的警告没有点名具体品牌,但FCC的禁令给出了一个隐含的答案框架。Woodward指出,路由器的安全更新机制本身就是双刃剑:"厂商推送固件修复漏洞,但这个通道如果被劫持,就成了完美的后门。"
你的路由器,多久没更新过固件?
NCSC的通报里埋了一个关键细节:攻击是"opportunistic"(机会主义)的。这意味着并非针对性攻击,而是广撒网后筛选高价值目标。普通用户的防御窗口期,在于不被筛进下一轮。
Woodward的建议很朴素:留意异常。网络变慢、设备自动重启、陌生设备出现在家庭网络列表里——这些可能是路由器已经被改写的信号。但他也承认,多数用户不会去看路由器管理界面,"很多人连默认密码都没改过"。
这暴露了一个结构性困境。消费级路由器的安全设计,长期让位于易用性和成本。自动更新功能在高端设备上普及,但存量市场里大量老旧设备仍在服役,有些早已停止接收厂商支持。APT28这类组织深谙此道:与其攻破最新的iPhone,不如找一台五年前的路由器当跳板。
英国目前尚无类似美国的硬件禁令动向。但NCSC的警告措辞——"believed to be opportunistic"——暗示了情报界对威胁规模的判断:这不是终点,而是持续 campaign 的某个阶段。当3400万家庭的路由器成为攻击面,"机会主义"的数学期望值就足够可观。
FCC禁令出台后,美国市场的路由器供应链正在重组。但Woodward提醒,硬件产地只是问题的一层:"固件代码的审计、更新服务器的地理位置、厂商与母国政府的关系——这些比'哪里组装'更难验证。"
英国用户现在能做什么?NCSC的官网列出了一套基础 checklist:改默认密码、关闭远程管理功能、定期检查固件更新、留意网络异常。但这些动作的前提是——用户得意识到路由器是个需要维护的设备,而不是插上电就遗忘的塑料盒子。
Woodward在采访末尾补了一句:"我们以前也发过路由器警告,但人们听不进去。"这次APT28的招牌被明确点出,或许能让部分用户多瞥一眼那个积灰的小盒子。毕竟,当攻击者可以把你导向假银行网站时,防病毒软件再强也帮不上忙——你已经在错误的起点输光了筹码。
你家路由器上次重启是什么时候?
热门跟贴