俄罗斯黑客利用老旧路由器窃取微软Office认证令牌
安全专家今日警告,与俄罗斯军事情报部门关联的黑客组织“Forest Blizzard”(又称APT28、Fancy Bear)正利用老旧路由器中的已知漏洞,大规模窃取微软Office用户的认证令牌。该行动涉及超过18,000个网络,影响200多个组织和5,000台消费设备。
微软在今日发布的博客中指出,该组织通过DNS劫持手段实施“中间人攻击”(Adversary-in-the-Middle, AiTM),针对微软Outlook网页版的TLS连接,窃取用户在完成多因素认证后传输的OAuth认证令牌。该攻击无需部署恶意软件,而是篡改路由器的DNS设置,将流量引导至黑客控制的虚拟专用服务器。
Lumen旗下安全团队Black Lotus Labs的调查发现,攻击主要针对政府机构,包括外交部、执法部门及第三方邮件服务商。被攻击的路由器多为已停产、未更新或严重滞后于安全补丁的Mikrotik和TP-Link品牌设备,主要面向小型办公室/家庭办公室(SOHO)市场。
英国国家网络安全中心(NCSC)在最新公告中解释,DNS劫持通过篡改域名解析过程,将用户引导至恶意网站,从而窃取登录凭证。Forest Blizzard在2025年12月活动高峰时,已成功渗透超过18,000台路由器。
Black Lotus安全工程师Ryan English表示,攻击者采用传统“老派”方法,不依赖恶意软件,但效率极高。“这些家伙没有用恶意软件,而是用一种不炫酷但有效的方式完成任务。”
值得注意的是,该组织在2025年8月被NCSC曝光后,迅速调整策略,从使用恶意软件控制少数路由器,转向系统性大规模篡改DNS设置,攻击所有易受攻击的设备。Black Lotus工程师Danny Adamitis指出,此次曝光可能促使该组织再次调整战术。
微软强调,尽管攻击SOHO设备并非新策略,但这是首次观察到Forest Blizzard大规模使用DNS劫持来支持TLS连接的中间人攻击。
该事件凸显全球网络基础设施安全漏洞,尤其在老旧设备普及的背景下,对政府、企业和个人用户构成持续威胁。
编辑点评
此次俄罗斯黑客组织Forest Blizzard利用老旧路由器大规模窃取微软Office认证令牌的事件,凸显了全球网络基础设施脆弱性与国家级网络威胁的持续演变。攻击者未使用复杂恶意软件,而是通过篡改DNS设置实现中间人攻击,这种“低技术高效率”的方式对全球网络防御体系构成系统性挑战。其目标主要为政府机构和外交部门,反映出俄罗斯网络情报活动在外交与地缘政治领域的战略意图。
从国际影响看,此类攻击不仅威胁单个国家的网络安全,更可能破坏国际信任机制。若攻击导致敏感外交或情报信息泄露,可能引发外交摩擦或误判。此外,攻击手法的“平民化”——即利用广泛存在的老旧设备——使得防御成本显着上升,尤其对资源有限的发展中国家和基层机构构成更大风险。
长远来看,该事件推动全球对SOHO设备安全标准的重新审视,可能促使国际监管机构出台更严格的设备安全认证要求。同时,企业与政府需加强网络边界安全监控,特别是在DNS和路由器层面部署主动防御机制,以应对未来可能的类似攻击。随着网络战向基础设施渗透,此类事件的频次和规模或将继续上升,成为国际网络安全治理的重要议题。