俄罗斯APT28在全球间谍活动中劫持路由器

在一场严峻的警示中，俄罗斯臭名昭著的APT28威胁组织正通过利用最普通的网络设备——消费级路由器，执行一项全球监控行动。这提醒我们，复杂的国家支持间谍活动并非总需要复杂的恶意软件。该组织被微软命名为森林风暴，正在利用MikroTik和TP-Link等品牌的易受攻击的小型办公室/家庭办公室路由器，劫持互联网流量并窃取政府、能源和国防领域毫无戒备用户的登录凭证。这场行动与针对乌克兰及北约盟友的更传统恶意软件行动并行展开，展示了该组织在网络间谍活动中令人不寒而栗的高效"无恶意软件"策略。

路由器：无声的武器

此次行动的机制看似简单，却极具破坏力。APT28的攻击者并非在目标计算机上部署传统载荷，而是首先通过利用弱默认凭证或已知漏洞，攻陷不安全的SOHO路由器。一旦进入设备，他们便进行一项精准修改：更改设备的域名系统设置。

DNS是互联网的电话簿，将人类可读的域名转换为机器可读的IP地址。通过控制路由器的DNS，攻击者可以将所有连接用户重定向到合法网站的欺诈性仿冒版本。当受害者尝试登录其电子邮件、企业网络或其他敏感服务时，他们实际上面对的是由APT28控制的完美复制网站。任何输入的凭证都会被即时窃取，使攻击者直接获得受害者真实账户的访问权限。这种技术尤其阴险，因为入侵完全基于网络；受害者自身的设备没有任何感染迹象，使得检测异常困难。

双重威胁：PRISMEX与间谍活动

尽管路由器行动展示了一种精简的、以基础设施为重点的策略，APT28仍在并行开展更传统的网络行动。近期报告详细描述了一场针对乌克兰实体及北约盟友的鱼叉式网络钓鱼行动，部署了一套此前未记录的恶意软件套件，代号为PRISMEX。

PRISMEX代表了该组织在隐蔽性和数据窃取方面的高级能力。它被描述为一个模块化工具包，使用隐写术——将数据隐藏在其他文件（如图像）中的技术——来秘密外泄窃取的信息。这使得恶意软件能够将其通信与正常的网络流量混合，规避网络监控工具。PRISMEX与路由器行动并存，凸显了APT28作为全谱系威胁行为者的地位，能够根据目标和目的定制其工具和技术。一项行动旨在通过基础设施入侵大规模窃取凭证，而另一项则使用针对性恶意软件深入渗透特定高价值组织。

为何路由器是最薄弱环节

森林风暴全球DNS劫持行动的成功，突显了一个普遍且常被忽视的安全缺陷：网络边缘设备的脆弱性。SOHO路由器通常部署时使用默认管理密码，运行过时的固件，且缺乏强大的日志记录或安全功能。它们是"设置即遗忘"的设备，可能多年未打补丁，为高级攻击者提供了完美且低风险的入口点。

对APT28而言，这些被入侵的路由器是理想的恶意基础设施。它们提供了靠近目标的地理位置，可以绕过某些阻止来自已知敌对网络流量的电子邮件安全过滤器，且难以直接归因于攻击者。通过将成千上万的此类设备转变为隐蔽的代理和拦截网络，该组织能够以更小的足迹进行间谍活动，使防御者的取证分析和干扰行动更具挑战性。

关键要点

• APT28（森林风暴） 正在通过劫持易受攻击的SOHO路由器并更改其DNS设置，以窃取连接用户的登录凭证，开展一项全球性的"无恶意软件"网络间谍行动。
• 这种以路由器为重点的策略与传统恶意软件行动（如针对乌克兰及盟友的PRISMEX行动）相辅相成，展示了该组织适应性强、多层面的威胁特征。
• 核心漏洞在于安全性差的网络边缘设备。使用默认密码、未打补丁固件且监控最少的路由器正被武器化，以创建分布式、匿名的攻击基础设施。
• 防御需要转变重点：组织必须将SOHO路由器安全纳入其威胁模型，执行严格的密码策略，确保及时更新固件，并考虑监控可能表明入侵的异常DNS流量。