俄罗斯黑客在大规模凭证窃取行动中劫持家用路由器

一名熟悉的间谍活动主体采取了一条安静但有效的路径

据安全研究人员和政府当局于4月7日发布的警告，俄罗斯政府关联黑客已入侵数千台家用和小企业路由器，试图窃取密码和身份验证令牌。

这场行动被归因于 Fancy Bear，也称为 APT28。该组织是一个长期存在的黑客团体，普遍被认为隶属于俄罗斯军事情报机构 GRU。过去十年间，该组织曾与一系列重大网络行动有关联，但最新报道显示，其战术与其说是为了制造头条式破坏，不如说是为了在大规模范围内耐心拦截流量。

通过控制路由器，攻击者获得了战略优势：他们可以在受害者的互联网流量到达合法服务之前，操纵其路径。这使得他们能够将目标引导至由黑客控制的仿冒网站，并捕获日后可用于访问账户的凭证或会话令牌。

这场行动是如何运作的

根据报告，黑客利用了此前已披露、但未打补丁的 MikroTik 和 TP-Link 路由器中的漏洞。一旦进入设备，他们就会更改设置，使互联网请求被秘密路由到由攻击者控制的基础设施。

这种技术之所以重要，是因为它可能绕过过去十年互联网用户形成的一个最强习惯之一：依赖双因素认证。如果受害者被重定向到一个足以乱真的虚假登录流程，而攻击者窃取了正确的令牌，他们可能无需一次性验证码就能访问账户。

研究人员表示，这场行动的范围很广。Black Lotus Labs 估计，约120个国家至少有1.8万名受害者受到影响，其中包括北非、中美洲和东南亚的政府部门、执法机构和电子邮件服务提供商。

为什么家用路由器是有吸引力的目标

路由器很容易被忽视。它们很少像笔记本电脑、手机或企业服务器那样受到关注，但它们正处在用户在线活动的每一条路径上。如果长期不打补丁，它们就可能变成持久的监视点。

这似乎正是它们在此次行动中发挥作用的原因。许多路由器多年运行着过时软件，往往是因为用户不知道更新可用，或者因为这些设备被当作普通家电，而非安全敏感系统来对待。对于情报机构来说，这创造了一个庞大的目标池，可以被机会性地逐步收网。

英国国家网络安全中心表示，这些行动很可能最初带有机会主义性质，攻击者先广撒网，随后在行动推进过程中再锁定具有情报价值的受害者。这一描述暗示了两阶段模式：先大范围入侵，再选择性利用。

流量重定向的战略逻辑

流量重定向是一种强大的手段，因为它既灵活又安静。攻击者不是直接攻入每一个目标服务，而是利用受感染的路由器来影响受害者的浏览体验。这样他们就能实施凭证钓鱼、令牌窃取或其他基于会话的攻击，而无需逐个攻破每个在线平台。

这也让攻击者能够跨越个人和组织边界开展行动。一台被入侵的路由器就可能暴露家庭用户、远程办公人员和小型办公室。在政府人员、记者、承包商和高管经常在混合环境中工作的世界里，这使消费级网络设备成为一个有用的情报收集点。

因此，4月7日披露的这场行动符合网络冲突中的一个更广泛趋势：攻击者正在转向位于人们与其信任服务之间的基础设施，而不仅仅是攻击终端本身。

这项披露传递了什么信号

这份新警告的直接意义在于防御。使用受影响设备的组织和家庭都需要假定，未打补丁的路由器不仅是维护风险，更可能是间谍活动的立足点。相关漏洞此前已被披露，这意味着机会之所以存在，是因为在修复方案已经可用后，系统仍然暴露在外。

更广泛的意义则在于地缘政治。Fancy Bear 长期与高价值的俄罗斯情报任务联系在一起，而这次活动的规模表明，其仍持续关注大规模获取访问权限。从如此广泛的目标群体中窃取凭证，可以支持跨多个行业和地区的监视、后续入侵以及账户接管。

对于防御者来说，教训既直接又令人不安：关键安全漏洞并不总是始于公司数据中心。有时它们始于走廊里的储物柜，连接着宽带线路，后面是一台多年未更新的路由器。

超越此次行动的警示

这份报告提醒人们，边缘互联网基础设施仍是全球网络行动中最薄弱的目标之一。当攻击者能够入侵人们信任、用以连接其他一切的硬件时，消费级弱点与国家安全暴露之间的界线就会变得非常模糊。

这也是为什么路由器已不再只是家用设备。落入国家支持的间谍组织手中后，它就会变成一个安静的数据收集平台、一种凭证收割工具，以及更深层入侵的起点。与 Fancy Bear 相关的这场行动表明，来自那些很少登上头条、却在被转而用于对付主人之前几乎无人注意的设备，能够被放大出多大的杠杆效应。

本文基于 TechCrunch 的报道。阅读原文。