共计 2202 个字符,预计需要花费 6 分钟才能阅读完成。
安全专家警告,与俄罗斯军事情报部门有关联的黑客正利用旧版互联网路由器漏洞进行大规模攻击。
与俄罗斯军事情报部门有关联的黑客正在利用旧版互联网路由器中的已知漏洞,大规模收集来自……的身份验证令牌。微软办公软件 用户,安全专家今天警告说,这场间谍活动使受俄罗斯政府支持的黑客能够在超过 18000 个网络上悄然窃取用户的身份验证令牌,而无需部署任何恶意软件或代码。
微软在 a blog post 今天,它识别出超过 200 个组织和 5,000 台消费设备,它们被卷入了一个隐蔽但极其简单的间谍网络,该网络由俄罗斯支持的威胁行为者被称为‘森林暴风雪.”
目标 DNS 请求在路由器上是如何被重定向的。图片:Black Lotus Labs。
也称为 APT28 以及“森林暴风”归因于俄罗斯总参谋部情报总局(GRU)的军事情报单位。APT28 在 2016 年曾入侵希拉里·克林顿竞选团队、美国民主党全国委员会和民主党国会竞选委员会,企图干预美国总统选举。
在…的研究人员 黑莲实验室 互联网骨干提供商的安全部门 流明,发现在 2025 年 12 月活动高峰期,森林风暴的监控大网捕获了超过 18000 台互联网路由器,这些路由器大多是已不再受支持、已停止使用或严重滞后于安全更新的设备。Anew reportLumen 表示,这些黑客主要针对政府机构——包括外交部、执法部门和第三方电子邮件提供商。
黑莲安全工程师 瑞安·英格利什 据称,GRU 黑客不需要在受攻击的路由器上安装恶意软件,这些路由器主要是老旧的。MikroTik and 普联 针对小型办公室 / 家庭办公室(SOHO)市场的设备。相反,他们利用已知漏洞将路由器的域名系统(DNS)设置修改为包含黑客控制的 DNS 服务器。
作为英国的 国家网络安全中心 (NCSC)笔记a new advisory 详细说明俄罗斯网络行为者如何入侵路由器,DNS(域名系统)使用户能够通过输入熟悉的域名而非相应的 IP 地址访问网站。在 DNS 劫持攻击中,攻击者干扰该过程,暗中把用户重定向到旨在窃取登录凭证或其他敏感信息的恶意网站。
英文称,遭受 Forest Blizzard 攻击的路由器被重新配置为使用指向攻击者控制的少数虚拟专用服务器的 DNS 服务器。关键的是,攻击者随后可以将恶意的 DNS 设置传播到本地网络上的所有用户,从此以后拦截任何(流量)。OAuth authentication tokens由那些用户传输的
通过路由器被攻陷实现的 DNS 劫持。图片:Microsoft。
因为这些令牌通常只被传输 之后 用户成功登录并完成多因素身份验证后,攻击者可以直接访问受害者账户,而无需对每个用户的凭证和 / 或一次性验证码进行钓鱼。
每个人都在寻找某种复杂的恶意软件,想在你的移动设备上植入点什么,English 说。“这些人没有使用恶意软件。他们用老派的、灰胡子式的方法,虽然不太酷,但能把事情搞定。”
微软将 Forest Blizzard 活动描述为利用 DNS 劫持“用于对 Microsoft Outlook 网页域的 TLS 连接进行 post‑compromise 敌中间人(AiTM)攻击”。这家软件巨头表示,虽然以 SOHO 设备为目标并非新战术,但这是微软首次看到 Forest Blizzard“在利用边缘设备后,大规模使用 DNS 劫持来支持 TLS 连接的 AiTM 攻击”。
Black Lotus Labs 工程师 丹尼·亚当米蒂斯 他们说,观察森林暴风(Forest Blizzard)如何应对今天对其间谍行动的大量关注将会很有趣,并指出该组织立即改变了策略以应对。a similar NCSC report(PDF) 2025 年 8 月。届时,Forest Blizzard 使用恶意软件控制了一个更为精准且规模更小的受感染路由器群体。但 Adamitis 表示,在 NCSC 报告发布后的第二天,该组织迅速抛弃了恶意软件方式,转而大规模更改成千上万易受攻击路由器的 DNS 设置。
“在上一次 NCSC 报告发布之前,他们在极其有限的情况下使用了这种能力,”Adamitis 告诉 KrebsOnSecurity。“报告发布后,他们以更加系统的方式部署了这种能力,并用它来针对所有易受攻击的目标。”
TP-Link 是面临美国全面禁令的路由器制造商之一。但在 3 月 23 日,美国联邦通信委员会 FCC 采取了更为广泛的方针announcing 它将不再为在美国境外生产的消费级互联网路由器进行认证。
美国联邦通信委员会警告说,外国制造的路由器已成为不可承受的国家安全威胁,且安全防护不足的路由器构成“严重的网络安全风险,可能被利用来立即、严重地破坏美国关键基础设施并直接伤害美国公民”。
专家反驳说,在这项新的 FCC 政策下,几乎没有新的消费级路由器可供购买(除了可能是马斯克的 Starlink 卫星互联网路由器,这些路由器在德克萨斯州生产)。FCC 表示,路由器制造商可以向战争部或国土安全部申请一种特殊的“有条件批准”,并且该新政策不影响任何已购买的消费级路由器。
💡 防御建议
- 更新路由器固件
- 启用多因素认证
- 监控网络流量
安全无小事,点滴记心间!
本文是 翻译 文章,文章来源:Krebs on Security
原文链接:https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
本文观点仅供参考,具体内容表达以及含义原文为准。
