2025年12月,全球超过18,000个独立IP地址正在向同一批服务器发送数据。这些设备分布在120个国家,从北非外交部到东南亚的云服务商,源头却指向你家客厅角落那台积灰的路由器。
俄罗斯国家背景黑客组织APT28(森林暴雪)被曝自2025年5月起,系统性入侵MikroTik和TP-Link等主流家用及小型办公路由器,将其改造成全球DNS劫持网络的节点。美国司法部、FBI与国际合作伙伴已联合发起"假面行动"(Operation Masquerade),强制下线了美国境内的相关基础设施。
Lumen旗下Black Lotus Labs将这场大规模攻击命名为"冰霜舰队"(FrostArmada)。微软则将其定性为针对边缘设备的网络间谍行动——黑客不偷数据,而是让路由器"代劳"监听。
攻击手法:改一行DNS设置,整栋楼都在裸奔
传统网络攻击需要钓鱼邮件或恶意软件,用户至少要点个链接。这次不一样。
「他们的技术修改了受感染路由器的DNS设置,劫持本地网络流量以捕获和窃取认证凭证,」Black Lotus Labs在报告中指出,「当用户请求目标域名时,攻击者将流量重定向至中间人节点,在那里收割凭证并外传。这种方式实现了几乎不可见的攻击,终端用户无需任何交互。」
打个比方:你习惯去固定便利店买咖啡,某天路口指示牌被换了,把你引向一家外观一模一样的假店。你刷卡付款时,假店复制了你的卡号和密码,再替你到真店买咖啡。全程你毫无察觉,直到账单出现异常。
DNS劫持的可怕之处在于规模效应。一台被入侵的企业级路由器可能服务数百名员工;一台家用路由器可能连接着全家手机、电脑和智能家居。APT28不需要逐个攻破终端,上游截流即可批量收割。
时间线复盘:从试水 to 爆发
2025年5月:活动以有限容量启动,疑似技术验证阶段。
2025年8月初:大规模路由器利用与DNS重定向开始,攻击面急剧扩张。
2025年12月峰值:超过18,000个独立IP地址与APT28基础设施通信,覆盖政府、军队、关键基础设施人员。
目标选择很有针对性。北非和中美洲的外交部、执法机构,东南亚及欧洲的第三方邮件和云服务商被优先"关照"。这些机构的共同点是:依赖基础网络设施,但边缘设备防护薄弱。
微软威胁情报团队将活动归因于APT28及其子组织Storm-2754。据微软统计,超过200家组织和5,000台消费级设备受到恶意DNS基础设施影响。
「对于森林暴雪这样的国家背景行为体,DNS劫持实现了大规模、持久的被动可见性与侦察能力,」微软表示,「通过攻陷大型目标上游的边缘设备,威胁行为体可以利用监控较弱的环节。」
为什么选SOHO路由器?
SOHO(小型办公/家庭办公)路由器是网络安全的长尾盲区。
企业级设备有专门团队维护,家用路由器却常被遗忘在角落。用户买来后很少更新固件,默认密码从不修改,远程管理接口直接暴露公网。MikroTik和TP-Link因性价比高、配置灵活,在全球中小企业和家庭中占有率极高,自然成为规模化攻击的理想载体。
APT28的战术演进反映了国家背景黑客的实用主义:与其硬闯加固过的城堡,不如控制城堡外的供水管道。
这次行动也暴露了DNS作为互联网基础设施的结构性脆弱。域名解析是几乎所有网络活动的起点,却长期缺乏加密和验证机制。用户看到的"https"小锁只保护浏览器到服务器的通信,不保护设备到DNS服务器的查询过程——这正是APT28的切入点。
执法反击与未解问题
美国司法部通过法院授权的技术行动,已中和了美国境内的网络部分。但"假面行动"的通报措辞谨慎,强调"美国部分"被下线,暗示全球其余节点可能仍在运行。
18,000个IP地址的峰值数据来自2025年12月,而公开披露时间为2026年初。攻击者有多少时间转移或清理痕迹?受影响用户是否已收到通知?这些问题尚无公开答案。
微软和Black Lotus Labs建议企业审查边缘设备日志,检查DNS配置异常,并对路由器管理接口实施访问控制。但对于普通家庭用户,检测难度极高——你的网络看起来一切正常,只是某些网站"偶尔"加载慢一点,或者需要重新登录。
APT28的这次行动留下一个悬而未决的追问:当国家背景黑客开始规模化利用消费级设备作为跳板,家用路由器的安全责任究竟该由谁承担——厂商、运营商,还是默认密码用了八年的用户自己?
热门跟贴