俄罗斯军事黑客瞄准家用及办公室路由器
据网络安全研究人员的最新报告,一场与俄罗斯军方有关联的复杂DNS劫持活动已攻陷逾5,000台消费级设备及200多个组织机构。实施此次攻击的威胁行为者被称为"森林暴雪"(Forest Blizzard,亦被追踪标记为APT28或Strontium),与俄罗斯军事情报机构存在关联,多年来一直活跃于各类高知名度入侵事件中。
此次攻击手法直接而高效。该组织并未直接针对个人电脑或手机,而是对家用及小型办公室路由器的DNS设置进行篡改。一旦路由器遭到攻陷,连接其上的所有设备——笔记本电脑、手机、智能电视、办公电脑——均可能成为潜在攻击目标。
DNS劫持的实际工作原理
DNS,即域名系统,有时被形容为互联网的"电话簿"。当你在浏览器中输入网址时,设备会向DNS服务器发出查询,以获取所需连接的数字IP地址。在正常情况下,该查询会发送至可信的DNS服务器,通常由互联网服务提供商提供。
当攻击者修改路由器的DNS配置后,这些查询便会被重定向至攻击者控制的服务器。由此,他们可以清晰地看到你正在访问哪些网站,在某些情况下还能拦截实际流量。研究人员发现,这种方法使"森林暴雪"得以从遭攻陷路由器所连接的设备上捕获明文数据,包括电子邮件和登录凭据。
这一情况尤为令人担忧,因为许多用户认为,只要使用了HTTPS网站或加密电子邮件服务,自己的通信便受到了保护。然而,当DNS在路由器层面遭到劫持时,攻击者便能获取流量信息的可见性,并在特定条件下剥除这层保护。
"森林暴雪"是谁?
"森林暴雪",又名APT28和Strontium,被普遍认定与俄罗斯军事情报机构格鲁乌(GRU)存在关联。该组织曾被牵涉至针对欧洲和北美地区政府机构、国防承包商、政治组织及关键基础设施的多起攻击事件。
此次活动标志着其战术向消费级基础设施的转变。家用及小型办公室路由器在安全层面往往被忽视——它们鲜少接受固件更新,常以默认凭据运行,且通常不在IT安全团队的监控范围之内。这使其成为意图大规模拦截通信的组织颇具吸引力的切入点。
攻陷路由器还能让攻击者保持持久访问权限。即便个人设备上的恶意软件被清除,遭攻陷的路由器仍会持续重定向流量,直至路由器本身得到清理和重新配置。
这对你意味着什么
如果你使用的是普通家用或小型办公室路由器,此次活动与你直接相关——即便你不是政府雇员,也不是可能的间谍活动目标。此次攻击规模之广——超过5,000台消费级设备——表明其针对对象是广泛的,而非精准定向的。
针对这一情况,以下几项实用措施值得采取。
检查路由器的DNS设置。 登录路由器管理面板(通常地址为192.168.1.1或192.168.0.1),核实所列DNS服务器是否为你所认识和信任的。如果你看到陌生的IP地址,且并非由你自行设置,则需提高警惕。
更新路由器固件。 路由器制造商会定期发布修补安全漏洞的固件更新。许多路由器的管理面板中提供直接检查更新的选项。如果你的路由器已使用数年且制造商已停止支持,请考虑更换。
修改路由器的默认管理员密码。 默认凭据广为人知,是攻击者首先尝试的内容之一。为路由器管理界面设置一个强且唯一的密码,可大幅提高攻击门槛。
使用具备DNS泄漏保护功能的VPN。 VPN会将你的流量(包括DNS查询)通过加密隧道路由至本地网络之外的服务器。即便路由器的DNS已遭篡改,具备适当DNS泄漏保护功能的VPN也能确保你的查询由VPN提供商的服务器解析,而非攻击者的服务器。这并不能使遭攻陷的路由器变得安全,但可大幅限制攻击者所能观察或拦截的内容。
考虑单独使用加密DNS。 支持DNS over HTTPS(DoH)或DNS over TLS(DoT)的服务可在无需VPN的情况下加密你的DNS查询,使其更难被拦截或重定向。
"森林暴雪"活动再次提醒我们,网络安全始于路由器。将你的家庭或办公室连接至互联网的设备,理应与你桌上的电脑和手机获得同等重视。保持其更新、正确配置并受到监控,不是可选项——而是一切安全措施得以建立的根基。如果你近期尚未检查过路由器设置,现在正是开始的好时机。
