英国国家网络安全中心(NCSC)日前发布预警,称俄罗斯著名黑客组织APT28(又名“奇幻熊”)正持续对小型办公及家庭办公(SOHO)路由器发起攻击,旨在窃取用户密码及机密信息。
根据NCSC的调查,APT28与俄罗斯情报机构(GRU)关系密切。该组织通过利用路由器中的已知漏洞,强行篡改设备的DNS服务器设置。一旦攻击得逞,受害者在访问常用服务(如Outlook)时,会被重定向至黑客控制的钓鱼网页。用户在这些伪造页面输入登录凭据后,信息便直接落入攻击者手中。
攻击规模持续扩大
除了路由器本身,连接至该网络的笔记本电脑和智能手机等下游设备也会因继承错误的DNS设置而面临风险。微软在同步发布的报告中指出,该组织近期已成功入侵约200个组织机构,共计5000余台设备受到影响。微软将此行为归类为“森林暴雪”(Forest Blizzard)行动,认为攻击者意在通过渗透上游路由器,获取进入大型企业内网的跳板。
NCSC的监控记录显示,此项攻击活动始于2021年。早期的攻击目标主要集中在思科(Cisco)路由器,而近期则大量涉及TP-Link设备。此外,针对MikroTik路由器的攻击行动也频繁出现,且大量受影响设备位于乌克兰境内,这表明收集具有军事价值的情报是其核心意图之一。
尽管受害者群体广泛,但NCSC认为,这些DNS劫持攻击更倾向于“机会主义”性质,而非针对特定高价值目标的定向打击。黑客利用的是广泛存在的设备漏洞,而非复杂的零日漏洞。
NCSC运营总监保罗·奇切斯特(Paul Chichester)表示:“此类活动表明,广泛使用的网络设备中存在的漏洞,极易被敌对势力利用。我们强烈建议各组织及网络安全防御人员熟悉咨询报告中描述的技术手段,并严格遵循缓解建议。”
目前,NCSC正持续追踪此类恶意网络活动,并为英国各网络提供防御指导。专家建议,相关设备拥有者应尽快更新路由器固件,并检查DNS设置是否遭到非法篡改。
