英国安全官员周二发出警告称,隶属于俄罗斯军事情报机构的黑客团队正在利用存在漏洞的家用和小型办公设备实施网络间谍活动。这些攻击旨在劫持网页流量,从而监视受害者并窃取敏感信息。
英国国家网络安全中心(NCSC)在技术咨询报告中指出,该黑客组织通过修改路由器设置,将互联网流量重定向至其控制的服务器。NCSC隶属于英国政府通信总部(GCHQ),其专家以极高可信度评估认为,该攻击行动背后是俄罗斯格鲁乌(GRU)旗下的第26165部队。
攻击手段与漏洞利用
该黑客组织在网络安全领域广为人知,曾使用APT28、Fancy Bear和BlueDelta等代号。此次行动主要针对TP-Link生产的一系列路由器型号。这些设备因配置弱密码或运行过时的软件,往往直接暴露在互联网上,成为攻击目标。
据NCSC分析,黑客利用简单网络管理协议(SNMP)的漏洞获取访问权限。许多设备仍在使用未加密的SNMP v2版本,这使得攻击者能够拦截凭据并远程下达恶意指令。一旦成功入侵路由器,黑客便可搜集连接设备信息并绘制网络拓扑图,进而通过修改域名系统(DNS)设置实施“中间人攻击”。
这种攻击方式允许黑客拦截登录凭据和身份验证令牌,或将用户诱导至欺诈网站。NCSC表示,攻击者通常先进行广泛扫描以寻找脆弱设备,随后针对具有情报价值的目标进行精确打击。
英国过去曾多次指控该组织参与重大网络攻击,包括2015年针对德国议会的袭击,以及2018年试图干扰禁止化学武器组织对神经毒剂分析的行动。NCSC运营总监保罗·奇切斯特(Paul Chichester)强调,此事件凸显了广泛使用的设备若存在弱点,极易被国家背景的攻击者利用。
“我们强烈建议各组织和网络防御者熟悉报告中描述的技术,并遵循缓解建议,”奇切斯特表示,“NCSC将继续揭露俄罗斯的恶意网络活动,并提供实用指南以保护英国网络。”
为了防范此类威胁,NCSC建议相关单位严格限制或禁用非必要的SNMP服务,升级至更安全的协议版本,并确保所有网络设备及时安装安全补丁。
