美国联邦调查局(FBI)日前联合多国情报机构发布安全警告,指出俄罗斯总参谋部情报总局(GRU)下属的黑客组织正利用全球路由器漏洞,窃取军事、政府及关键基础设施的敏感信息。
该黑客组织在网络安全界被称为“APT28”、“Fancy Bear”或“Forest Blizzard”。自2024年以来,该组织通过针对TP-Link等品牌的路由器发起攻击,利用编号为CVE-2023-50224的漏洞获取设备控制权限。
劫持DNS实现中间人攻击
黑客通过篡改受感染路由器的动态主机配置协议(DHCP)和域名系统(DNS)设置,将流量导向受其控制的服务器。连接到这些路由器的手机、电脑等设备会自动继承这些恶意配置,导致所有网络查询请求均被拦截。
通过这种方式,黑客能够向用户返回伪造的DNS响应,诱导用户访问恶意网站。当用户在浏览器中忽略安全证书警告并继续操作时,黑客便能拦截加密流量,从而窃取密码、身份验证令牌及电子邮件等敏感数据。
美国司法部与FBI近期已成功切断了该组织用于实施此类DNS劫持操作的恶意基础设施。此次行动得到了包括加拿大、德国、挪威、乌克兰在内的多国情报部门的配合。
FBI建议,使用小型办公及家庭(SOHO)路由器的用户应立即采取防范措施,包括更新固件至最新版本、更换默认登录凭据,并关闭路由器的远程管理端口。对于已停止技术支持的旧设备,官方强烈建议用户进行更换。
针对企业用户,FBI建议审查远程办公安全策略,强制要求员工通过虚拟专用网络(VPN)访问敏感数据。若机构或个人怀疑已成为攻击目标,应立即向当地FBI办事处或互联网犯罪投诉中心(IC3)提交详细报告,并注明具体的路由器型号及配置信息。
