俄罗斯军方再度大规模劫持家用路由器用于间谍活动
据Lumen Technologies旗下Black Lotus Labs研究人员披露,俄罗斯军事情报机构GRU下属的高级威胁组织APT28近期发动大规模网络攻击,劫持全球120个国家约18,000至40,000台家用及小型办公路由器,主要涉及MikroTik和TP-Link品牌。
攻击者利用未及时更新安全补丁的旧版路由器,篡改其DNS设置,并通过动态主机配置协议(DHCP)将恶意配置传播至连接的终端设备。当用户访问特定网站(如微软365服务)时,其流量被劫持至恶意服务器,从而窃取密码和凭证令牌,用于后续间谍活动。
APT28组织长期活跃,已持续运作至少二十年,曾多次针对全球政府机构发起高调网络攻击。该组织也被称为Pawn Storm、Sofacy Group、Sednit、Tsar Team、Forest Blizzard和STRONTIUM。
研究人员指出,该组织结合前沿技术(如大型语言模型“LAMEHUG”)与传统攻击手段,不断调整战术以规避防御,其行为凸显了对全球组织的持续威胁。部分被劫持路由器被用作代理,连接至更多政府、执法部门和外交机构的网络,以扩大间谍范围。
此次攻击再次暴露全球网络基础设施中大量老旧设备的脆弱性,凸显网络安全防护更新滞后的问题。
编辑点评
此次俄罗斯军方主导的路由器劫持事件,暴露了全球网络基础设施中大量老旧设备的安全漏洞,其影响范围之广、技术手段之混合,凸显了国家级网络间谍行动的持续威胁。APT28作为GRU长期运作的高级威胁组织,此次攻击并非孤立事件,而是其长期间谍战略的延续。利用家用和小型办公路由器作为跳板,既隐蔽又高效,可绕过传统防火墙,实现对政府和关键基础设施的深度渗透。这种攻击方式具有极强的扩散性和持久性,尤其在发展中国家或网络管理松散的地区,风险更高。从国际安全角度看,此类攻击加剧了全球网络空间的不信任,可能促使更多国家加强网络主权立法与基础设施安全审查。同时,全球企业与政府机构需加速老旧设备替换与补丁更新,否则将持续成为国家级黑客组织的突破口。该事件也再次证明,网络战已进入‘低门槛、高隐蔽、长周期’的新阶段,未来防御体系需从被动响应转向主动监测与零信任架构。