俄罗斯入侵路由器以窃取微软Office令牌

与俄罗斯军事情报部门有关联的黑客正在利用旧版互联网路由器中的已知漏洞，大规模收集来自……的身份验证令牌。微软办公软件用户，安全专家今天警告说，这场间谍活动使受俄罗斯政府支持的黑客能够在超过18000个网络上悄然窃取用户的身份验证令牌，而无需部署任何恶意软件或代码。

微软在a blog post今天，它识别出超过200个组织和5,000台消费设备，它们被卷入了一个隐蔽但极其简单的间谍网络，该网络由俄罗斯支持的威胁行为者被称为‘森林暴风雪.”

也称为APT28以及“森林暴风”归因于俄罗斯总参谋部情报总局（GRU）的军事情报单位。APT28在2016年曾入侵希拉里·克林顿竞选团队、美国民主党全国委员会和民主党国会竞选委员会，企图干预美国总统选举。

在…的研究人员黑莲实验室互联网骨干提供商的安全部门流明，发现在2025年12月活动高峰期，森林风暴的监控大网捕获了超过18000台互联网路由器，这些路由器大多是已不再受支持、已停止使用或严重滞后于安全更新的设备。Anew reportLumen表示，这些黑客主要针对政府机构——包括外交部、执法部门和第三方电子邮件提供商。

黑莲安全工程师瑞安·英格利什据称，GRU黑客不需要在受攻击的路由器上安装恶意软件，这些路由器主要是老旧的。MikroTik and 普联针对小型办公室/家庭办公室（SOHO）市场的设备。相反，他们利用已知漏洞将路由器的域名系统（DNS）设置修改为包含黑客控制的DNS服务器。

作为英国的国家网络安全中心（NCSC）笔记a new advisory详细说明俄罗斯网络行为者如何入侵路由器，DNS（域名系统）使用户能够通过输入熟悉的域名而非相应的IP地址访问网站。在DNS劫持攻击中，攻击者干扰该过程，暗中把用户重定向到旨在窃取登录凭证或其他敏感信息的恶意网站。

英文称，遭受 Forest Blizzard 攻击的路由器被重新配置为使用指向攻击者控制的少数虚拟专用服务器的 DNS 服务器。关键的是，攻击者随后可以将恶意的 DNS 设置传播到本地网络上的所有用户，从此以后拦截任何（流量）。OAuth authentication tokens由那些用户传输的

因为这些令牌通常只被传输之后用户成功登录并完成多因素身份验证后，攻击者可以直接访问受害者账户，而无需对每个用户的凭证和/或一次性验证码进行钓鱼。

每个人都在寻找某种复杂的恶意软件，想在你的移动设备上植入点什么，English说。“这些人没有使用恶意软件。他们用老派的、灰胡子式的方法，虽然不太酷，但能把事情搞定。”

微软将Forest Blizzard活动描述为利用DNS劫持“用于对Microsoft Outlook网页域的TLS连接进行post‑compromise敌中间人（AiTM）攻击”。这家软件巨头表示，虽然以SOHO设备为目标并非新战术，但这是微软首次看到Forest Blizzard“在利用边缘设备后，大规模使用DNS劫持来支持TLS连接的AiTM攻击”。

Black Lotus Labs 工程师丹尼·亚当米蒂斯他们说，观察森林暴风（Forest Blizzard）如何应对今天对其间谍行动的大量关注将会很有趣，并指出该组织立即改变了策略以应对。a similar NCSC report(PDF) 2025 年 8 月。届时，Forest Blizzard 使用恶意软件控制了一个更为精准且规模更小的受感染路由器群体。但 Adamitis 表示，在 NCSC 报告发布后的第二天，该组织迅速抛弃了恶意软件方式，转而大规模更改成千上万易受攻击路由器的 DNS 设置。

“在上一次NCSC报告发布之前，他们在极其有限的情况下使用了这种能力，”Adamitis告诉KrebsOnSecurity。“报告发布后，他们以更加系统的方式部署了这种能力，并用它来针对所有易受攻击的目标。”

TP-Link是面临美国全面禁令的路由器制造商之一。但在3月23日，美国联邦通信委员会FCC采取了更为广泛的方针announcing它将不再为在美国境外生产的消费级互联网路由器进行认证。

美国联邦通信委员会警告说，外国制造的路由器已成为不可承受的国家安全威胁，且安全防护不足的路由器构成“严重的网络安全风险，可能被利用来立即、严重地破坏美国关键基础设施并直接伤害美国公民”。

专家反驳说，在这项新的FCC政策下，几乎没有新的消费级路由器可供购买（除了可能是马斯克的Starlink卫星互联网路由器，这些路由器在德克萨斯州生产）。FCC表示，路由器制造商可以向战争部或国土安全部申请一种特殊的“有条件批准”，并且该新政策不影响任何已购买的消费级路由器。

💡 防御建议

1. 更新路由器固件
2. 启用多因素认证
3. 监控网络流量