美国联邦调查局(FBI)近日宣布,在多方国际力量的配合下,已成功拆除了俄罗斯黑客组织APT28(又称Fancy Bear)运营的名为“FrostArmada”的恶意网络基础设施。该组织通过劫持小型办公及家庭路由器(SOHO),拦截用户登录流量,从而窃取微软365账户凭据及OAuth令牌。
此次行动由FBI、美国司法部及波兰政府协同实施,并得到了微软公司和Lumen公司旗下Black Lotus Labs(BLL)的技术支持。调查显示,该黑客团伙主要针对MikroTik和TP-Link等品牌的路由器进行攻击,同时涉及部分Nethesis和较旧款的Fortinet防火墙产品。
路由器DNS劫持机制
APT28的攻击手法在于篡改受害路由器的域名系统(DNS)设置,将其指向黑客控制的虚拟专用服务器(VPS)。当连接该路由器的设备尝试访问合法网站时,DNS解析会被重定向至攻击者的代理服务器,从而发起“中间人攻击”(AitM)。
Black Lotus Labs研究人员指出,该攻击过程对普通用户而言极为隐蔽。受害者唯一可能察觉的迹象是浏览器弹出关于连接不安全的TLS证书警告。如果用户忽略这些警示并继续访问,黑客便能轻松截获其未加密的互联网通信内容。
在2025年12月的活跃高峰期,FrostArmada感染了全球120个国家的约1.8万台设备。受害者群体涵盖政府机构、执法部门、IT服务商以及自主运营服务器的企业组织。据报告,该黑客组织内部运作分工明确:一支团队负责入侵设备扩张僵尸网络,另一支团队则专门从事中间人攻击和凭据收集。
为了遏制这一威胁,FBI执行了一项法院授权的技术操作。通过向受感染的路由器发送重置指令,执法人员强制设备恢复至互联网服务提供商提供的合法DNS解析器,从而断开了黑客的通信链路。司法部表示,此举不仅修复了受损设备,还为后续调查收集了关键证据。
