俄罗斯武装力量总参谋部情报总局(GRU)下属的APT28网络间谍组织(又名Fancy Bear、Forest Blizzard)自2024年起针对美国23个州的小企业/家庭办公室(SOHO)路由器发动大规模入侵。该组织利用设备未修补的固件漏洞和出厂默认管理员凭据,在数千台路由器中植入恶意控制指令,实施域名系统(DNS)劫持攻击。美国联邦调查局(FBI)2026年4月依据法院授权执行技术反制,暂时切断了本土受控路由器与俄罗斯指挥服务器之间的通信链路。但联邦机构同时警告,远程操作无法修复设备底层安全缺陷,每一台受影响路由器的最终加固仍需由用户自行完成。
攻击规模与技术细节
APT28采用的DNS劫持手法如下:攻击者先扫描网络中暴露在公网且使用默认密码或运行过时固件的SOHO路由器,一旦获得管理员访问权限,便修改路由器的DNS服务器地址,将用户发起的域名解析请求指向俄罗斯控制的解析服务器。这些服务器不仅记录所有被劫持的域名查询,还能在未加密的HTTP流量中直接提取登录凭证与敏感会话Cookie。微软安全威胁情报中心确认,本次行动波及全球超过200个组织以及约5000台消费者级路由器,情报收集重点锁定美国军事机构、政府部门和关键基础设施运营商。
“当前针对路由器的攻击正呈现显著上升趋势,不管消费级还是企业级产品都面临相同风险。”网络安全公司Forescout研究副总裁Daniel Dos Santos指出。在GRU的这次行动中,黑客在固件中植入持久化后门,即便FBI切断上游控制管道,路由器内的恶意代码仍处于休眠待命状态,一旦联网即可能被重新激活。攻击者还能够通过路由器管理界面更改Wi-Fi密码,将合法用户锁在网外,或持续监控全部网络流量。
路由器加固五项措施
英国国家网络安全中心(NCSC)与美国联邦机构联合呼吁所有SOHO路由器用户立即执行以下基本安全步骤,以封闭APT28以及其他类似攻击的利用路径:
- 更新固件:登录路由器管理页面,检查是否有制造商发布的最新固件版本,并立即应用包含安全补丁的更新。
- 更改默认凭据:将出厂预设的管理员用户名和密码替换为唯一且强度足够的组合,避免使用admin/admin等常见组合。
- 禁用远程管理:关闭从广域网(WAN)接口访问路由器控制面板的功能,仅允许局域网(LAN)设备进行管理操作。
- 核实DNS设置:确认DNS服务器地址未被篡改为未知IP。建议将主要DNS设置为Cloudflare的1.1.1.1或Google的8.8.8.8,并固定写入配置。
- 恢复出厂设置:如果怀疑路由器曾遭入侵,可执行硬件重置(长按重置按钮)清除所有异常配置,再按安全基准重新设置。
美国联邦机构强调,虽然APT28此次主要瞄准企业级SOHO设备,但部分受影响型号与家庭常用路由器存在重合。普通用户应访问FBI或CISA网站对照受影响设备型号列表,排查自身设备是否处于风险之中。设备制造商、网络服务提供商与终端用户需要共同弥补路由器生态中的安全短板,而上述基础操作往往能在第一时间阻断大规模自动化利用。
本文参考来源:CNET
