⭐⭐⭐⭐ 4/5
俄罗斯黑客通过路由器DNS劫持窃取Microsoft Office令牌
核心发现
- 规模: 18,000+台路由器被入侵,200+组织、5,000+消费设备受影响
- 攻击者: APT28 (Forest Blizzard/Fancy Bear),俄罗斯军事情报局GRU下属
- 方法: 利用旧路由器已知漏洞修改DNS设置,拦截OAuth认证令牌
- 目标: 政府机构、外交部、执法部门、第三方邮件提供商
- 影响: 无需钓鱼即可获取用户账户完整访问权限,包括MFA后的会话
攻击技术: 攻击者不安装任何恶意软件,而是使用"老派"方法——利用Mikrotik和TP-Link等SOHO路由器的已知漏洞修改DNS设置,将用户重定向到恶意服务器窃取OAuth令牌。
攻击流程
- 第一步: 利用旧路由器(主要是Mikrotik和TP-Link)的已知漏洞
- 第二步: 修改路由器DNS设置,指向攻击者控制的DNS服务器
- 第三步: 恶意DNS将用户请求重定向到攻击者搭建的中间人服务器
- 第四步: 拦截OAuth认证令牌——这些令牌在用户完成MFA后传输
- 结果: 攻击者获得直接访问受害者账户的权限,无需钓鱼或获取MFA代码
关键区别: 这是首次发现APT28使用"大规模DNS劫持支持TLS中间人攻击"。之前他们使用恶意软件控制少量路由器,但2025年8月NCSC报告后迅速转向大规模DNS劫持。
为什么这很重要
这种攻击方式极其危险,因为:
- 无需恶意软件: 不需要在目标设备上安装任何代码
- 绕过MFA: 通过拦截MFA后获得的OAuth令牌,完全绕过多因素认证
- 大规模自动化: 2025年12月高峰期影响超过18,000台路由器
- 老旧设备是目标: 主要针对不再受支持的生命周期结束路由器
FCC新政策
2026年3月23日,美国FCC宣布不再认证在美国境外生产的消费级路由器,理由是外国制造的路由器已成为"不可接受的国家安全威胁"。这意味着未来消费者可能很难买到新的路由器(除Starlink等少数例外)。