周二,网络安全专家发布报告称,俄罗斯军事黑客正在进行一系列新的大规模攻击行动,通过入侵全球范围内的家用和小型办公室路由器来窃取用户的密码和其他登录凭证。这些攻击不仅威胁个人隐私,还被视为国家级间谍活动的一部分。
研究人员指出,此次网络入侵利用了约18,000至40,000个消费级路由器设备,这些设备分布在120个国家。受影响的路由器主要来自MikroTik和TP-Link等品牌,但专家强调,此类攻击往往针对设备配置不当的用户,而非特定品牌漏洞。
背后的操作者是一个名为APT28的先进威胁组织,该组织被多个网络安全机构追踪。APT28首次被外界注意到至少二十年前活跃于网络攻击领域,长期以来被认为与俄罗斯军事情报机构GRU有关联。GRU是俄罗斯联邦安全局下属的主要情报单位,负责军事网络行动。
APT28以执行复杂、定向的攻击而闻名,过去曾参与过数十起针对全球政府机构的重大网络入侵事件。例如,在过去的几年中,该组织曾渗透到美国、欧洲和亚洲多国的政府网络系统中,窃取敏感数据。这次新攻击通过操纵路由器作为代理节点,连接到更多设备上,包括外国部委、执法机构和政府组织的网络,以扩大其监控范围。
在技术层面,APT28采用了成熟的DNS劫持手法。这意味着他们通过控制部分路由器的域名系统设置,将特定网站流量重定向至假冒页面。这些页面伪装成合法服务(如微软365),诱导用户提供登录信息,之后数据被用于构建间谍网络并实施进一步的情报收集。网络安全分析显示,这种DNS欺骗技术并非新鲜发明;它是APT组织常用的武器之一,在过去十年中被多次观察到使用。
网络安全行业近年来见证了类似攻击的激增。随着全球对互联网依赖加深,路由器等网络设备已成为黑客普遍瞄准的目标之一,因为它们控制着家庭和企业的出入口流量。数据显示,在过去五年中,物联网设备相关的攻击事件增加了至少50%,而APT组织如APT28的活动往往与政府资助的网络犯罪或竞争情报相关。受影响国家包括东欧、亚洲和非洲部分地区,估计约有20,000个路由器被卷入此次事件中。
从更广泛的上下文来看,这次攻击反映出当前全球网络安全形势的严峻性。俄罗斯被视为网络攻击的主要国家之一,在过去十年中发起或支持了多次大规模入侵,包括针对乌克兰电网和能源部门的攻击事件。同样,中国、伊朗等其他国家也报告过类似APT活动,表明这是一种跨境威胁模式。例如,在2021年的SolarWinds网络破坏事件中,俄罗斯GRU被怀疑参与其中,突显了APT组织如何利用公开漏洞来扩张其影响力。
对于用户而言,此类事件提醒我们需要加强网络安全意识。简单修改路由器默认设置或使用弱密码就足以让攻击者轻易切入网络,从而导致个人信息泄露甚至更大规模的监控。网络安全专家建议,用户应定期更新路由器固件、设置强密码,并启用网络防火墙来防范类似风险。同时,政府和企业应投资于更先进的防御系统,并通过国际合作分享威胁情报来应对日益复杂的APT挑战。