FBI 和司法部拆除俄罗斯军事情报路由器网络
美国司法部和联邦调查局于2026年4月7日宣布,他们已完成一项经法院授权的行动,打断了一个被俄罗斯主要情报总局(通称 GRU)下属部门所使用的受控路由器网络。此次行动的目标是数千台被悄然劫持的小型办公室及家庭办公室(SOHO)路由器,这些路由器被用于对军事、政府及关键基础设施领域的个人和组织实施 DNS 劫持攻击。
此次行动的规模与方式清晰地揭示了国家支持的行为者如何利用被忽视的消费级硬件,开展复杂的情报收集活动。
DNS 劫持攻击的运作方式
GRU 下属部门利用 TP-Link 路由器中的已知漏洞发动攻击。TP-Link 是一个在全球家庭和小型企业中广泛使用的品牌。一旦进入设备,攻击者便会篡改其 DNS 设置。DNS,即域名系统,是将网址(如"example.com")转换为计算机用于连接的数字 IP 地址的机制,其功能本质上相当于互联网的地址簿。
通过更改受控路由器上的 DNS 设置,GRU 能够在设备所有者毫不知情的情况下,将流量重定向至其控制的服务器。这种技术被称为"中间人攻击"(Actor-in-the-Middle 攻击)。当受害者尝试访问合法网站或登录账户时,其请求被悄然转移。由于大量流量未经加密,攻击者得以以明文形式窃取密码、身份验证令牌及电子邮件内容。
受害者本身并未做任何错误的事情。他们只是在使用普通路由器、访问普通网站。攻击发生在基础设施层面,超出了大多数用户乃至许多 IT 团队的可见范围。
为何 SOHO 路由器始终是攻击目标
小型办公室及家庭办公室路由器已成为高级威胁行为者的惯用切入点,原因有以下几点:此类设备数量庞大、维护不善,且鲜少受到监控。消费级路由器的固件更新频率低,许多用户在完成初始设置后从未更改默认凭据或检查设备设置。
这并非联邦调查局首次出手清理受控路由器网络。往年也曾开展过针对僵尸网络基础设施的类似行动,涉及多个制造商的硬件。这一攻击向量的持续出现反映出一个结构性问题:路由器处于每个网络的边界,却远未获得其背后设备所受到的安全重视。
司法部的法院授权行动涉及远程修改受控路由器,以切断 GRU 的访问权限并清除恶意配置。此类干预行动较为罕见,且需要司法批准,这表明美国当局对该威胁的严重程度高度重视。
这对您意味着什么
如果您在家中或小型办公室使用消费级路由器,此次行动是一个直接的警示——您的硬件可能在您毫不知情、毫未参与的情况下成为情报行动的工具。此次攻击并不需要受害者点击恶意链接或下载任何内容,只需其路由器运行存在漏洞的固件,且互联网流量以未加密形式通过该路由器即可。
针对此次事件,有一些切实可行的应对措施值得采取。
首先,检查您的路由器是否有可用的固件更新,并及时安装。路由器制造商会定期修补已知漏洞,但这些补丁只有在安装后才能发挥作用。许多路由器可通过设置界面启用自动更新功能。
其次,更改路由器的默认登录凭据。在此类行动中,大量受控设备是通过公开记录在案的出厂默认用户名和密码被入侵的。
第三,考虑您的互联网流量在离开路由器后的状态。未加密的流量——无论是 HTTP 连接、某些电子邮件协议,还是特定应用程序的通信——在 DNS 被重定向的情况下均可被读取。使用加密 DNS 协议,如 DNS-over-HTTPS(DoH)或 DNS-over-TLS(DoT),可确保您的 DNS 查询本身不会被受控路由器或其流量转发服务器拦截或篡改。
第四,VPN 可通过在流量到达路由器或互联网服务提供商之前,先将其加密至可信服务器,从而提供额外的保护层。这意味着,即使您路由器的 DNS 遭到篡改,您的流量内容对于处于您与目标之间的任何人而言仍无法读取。
这些措施既不复杂,也不昂贵,但 GRU 此次行动清楚地表明,未加密的流量和未修补的硬件会对普通人造成真实的安全风险,而非抽象的假设威胁。
FBI 的介入打断了这一特定网络,但消费级路由器硬件中的潜在漏洞依然存在。保持信息灵通并采取基本的防护措施,是应对这一难以消除的攻击面最为实际的回应。
