俄政府黑客入侵全球数千台家用路由器窃取密码
网络安全研究人员与英国国家网络安全中心(NCSC)及Lumen旗下Black Lotus Labs于周二披露,俄罗斯政府支持的黑客组织Fancy Bear(APT 28)利用已知漏洞入侵全球数千台MicroTik和TP-Link品牌的家用及小型企业路由器。该行动旨在劫持用户网络流量,通过伪造网站窃取密码和访问令牌,进而绕过双重验证登录受害者账户。
据报告,该攻击已影响约120个国家的至少18,000名受害者,包括政府机构、执法部门和邮件服务商,主要集中在北非、中美洲及东南亚地区。微软确认超过200个组织和5,000台消费设备遭殃,至少三家非洲政府机构受影响。FBI正计划关闭该黑客使用的多个域名,已与Lumen等机构合作中断相关僵尸网络。
Fancy Bear长期从事高调网络攻击,曾于2016年入侵民主党全国委员会,2022年攻击卫星服务商Viasat。其行为被广泛认为隶属于俄罗斯GRU情报机构。此次攻击针对未及时更新固件的老旧路由器,利用其远程可被攻击的漏洞,实施大规模、机会性渗透,再逐步聚焦高价值目标。
NCSC指出,此类攻击“极可能为机会性行为,攻击者广撒网获取潜在目标,随后在攻击演进过程中聚焦情报价值高的目标”。黑客通过篡改路由器设置,将用户流量秘密转发至其控制的基础设施,实现中间人攻击,进而诱导用户访问仿冒网站并收集凭证。
Lumen称,此次行动由FBI、NCSC等多方联合应对,已成功中断相关僵尸网络。FBI尚未就此事回复媒体置评请求。
编辑点评
此次俄罗斯黑客组织Fancy Bear针对全球路由器的大规模攻击,凸显了国家支持的网络间谍活动正向基础网络设备渗透,其影响范围之广、技术手段之隐蔽,已构成全球网络安全的重大威胁。攻击利用老旧设备固件漏洞,表明当前全球网络基础设施存在系统性安全短板,尤其在发展中国家和中小企业中更为突出。该事件不仅影响个人隐私和企业数据安全,更可能威胁政府机构和关键基础设施的稳定运行。
从地缘政治角度看,此类攻击是俄罗斯在网络空间持续施压的体现,尤其在俄乌冲突背景下,其网络行动呈现“非对称对抗”特征,通过隐蔽、低成本方式获取情报或制造混乱。同时,此次多方协作的响应机制(FBI、NCSC、Lumen等)表明国际社会对重大网络威胁的联合应对能力正在加强,但漏洞修复速度滞后、设备更新机制缺失等问题仍需全球协调解决。
未来,各国政府需加强对基础网络设备的安全监管,推动强制性固件更新机制,并加强跨国情报共享与联合执法。企业及个人也应提升网络安全意识,及时更新设备系统,避免成为此类攻击的跳板。若类似攻击持续蔓延,可能引发全球对网络设备供应链安全的重新审视,甚至推动国际网络空间规则的进一步演进。