俄罗斯黑客入侵路由器窃取 Microsoft Office 令牌

Krebs on Security 新闻
cybersecurity russia apt28 router-hijacking dns-hijacking oauth-token-theft microsoft-office

摘要

俄罗斯国家支持的黑客(Forest Blizzard/APT28)利用旧路由器中的已知漏洞劫持 DNS 设置,窃取 Microsoft Office 用户的 OAuth 身份验证令牌,在不部署恶意软件的情况下入侵了超过 200 个组织和 5,000 个消费设备。

<p>安全专家今天警告称,与俄罗斯军事情报部门有关的黑客正利用老旧互联网路由器的已知漏洞,大规模窃取 <strong>Microsoft Office</strong> 用户的身份验证令牌。这一间谍活动使俄罗斯国家支持的黑客能够在不部署任何恶意软件或代码的情况下,悄悄从超过 18,000 个网络的用户那里窃取身份验证令牌。</p> <p>微软今天在<a href="https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/" target="_blank" rel="noopener">一篇博文</a>中表示,它识别出超过 200 个组织和 5,000 个消费设备被卷入一个由俄罗斯支持、名为“<strong>Forest Blizzard</strong>”的威胁行为者构建的隐蔽但极其简单的间谍网络。</p> <div id="attachment_73429" style="width: 774px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73429" decoding="async" loading="lazy" class="size-full wp-image-73429" src="https://krebsonsecurity.com/wp-content/uploads/2026/04/lumen-forestblizzard.png" alt="" width="764" height="353" /><p id="caption-attachment-73429" class="wp-caption-text">目标 DNS 请求如何在路由器上被重定向。图片来源:Black Lotus Labs。</p></div> <p>Forest Blizzard 也被称为 <a href="https://attack.mitre.org/groups/G0007/" target="_blank" rel="noopener">APT28</a> 和 Fancy Bear,隶属于俄罗斯总参谋部主要情报局 (GRU) 内的军事情报单位。APT28 因在 2016 年入侵希拉里·克林顿竞选团队、民主党全国委员会以及民主党国会竞选委员会,试图干预美国总统选举而闻名。</p> <p><strong>Black Lotus Labs</strong>(互联网骨干提供商 <strong>Lumen</strong> 的安全部门)的研究人员发现,在 2025 年 12 月活动高峰期,Forest Blizzard 的监控网捕到了超过 18,000 台互联网路由器,这些路由器大多是缺乏支持、已停产的设备,或者安全更新严重滞后。Lumen 的一份<a href="https://www.lumen.com/blog-and-news/en-us/frostarmada-forest-blizzard-dns-hijacking" target="_blank" rel="noopener">新报告</a>称,黑客主要针对政府机构——包括外交部、执法部门和第三方电子邮件提供商。</p> <p>Black Lotus 安全工程师 <strong>Ryan English</strong> 表示,GRU 黑客无需在目标路由器上安装恶意软件,这些路由器主要是面向小型办公室/家庭办公室 (SOHO) 市场的较老款 <strong>Mikrotik</strong> 和 <strong>TP-Link</strong> 设备。相反,他们利用已知漏洞修改路由器的域名系统 (DNS) 设置,加入了由黑客控制的 DNS 服务器。</p> <p>英国 <strong>国家网络安全中心</strong> (NCSC) 在一份描述俄罗斯网络行为者如何入侵路由器的<a href="https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations" target="_blank" rel="noopener">新公告</a>中指出,DNS 允许用户通过输入熟悉的地址而非关联的 IP 地址来访问网站。在 DNS 劫持攻击中,恶意行为者干扰这一过程,秘密将用户引导至旨在窃取登录凭据或其他敏感信息的恶意网站。</p> <p>English 表示,Forest Blizzard 攻击的路由器被重新配置,使用指向攻击者控制的少量虚拟专用服务器的 DNS 服务器。重要的是,攻击者随后可以将恶意 DNS 设置传播到本地网络上的所有用户,并从那时起拦截这些用户传输的任何 <a href="https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-auth-code-flow" target="_blank" rel="noopener">OAuth 身份验证令牌</a>。<span id="more-73422"></span></p> <div id="attachment_73428" style="width: 757px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73428" decoding="async" loading="lazy" class=" wp-image-73428" src="https://krebsonsecurity.com/wp-content/uploads/2026/04/ms-dns-forestblizard.png" alt="" width="747" height="544" /><p id="caption-attachment-73428" class="wp-caption-text">通过路由器入侵进行的 DNS 劫持。图片来源:Microsoft。</p></div> <p>由于这些令牌通常只在用户成功登录并通过多因素身份验证后传输,攻击者能够直接访问受害者账户,而无需钓鱼获取每个用户的凭据和/或一次性代码。</p> <p>“每个人都在寻找某种复杂的恶意软件来入侵你的移动设备之类的,”English 说。“这些人没有使用恶意软件。他们用一种老派、传统的做法完成了这件事,虽然不太引人注目,但效果很好。”</p> <p>微软将 Forest Blizzard 的活动称为利用 DNS 劫持“来支持针对 Microsoft Outlook 网页版域的传输层安全 (TLS) 连接的事后中间人 (AiTM) 攻击”。这家软件巨头表示,虽然针对 SOHO 设备并非新策略,但这是微软首次看到 Forest Blizzard 在利用边缘设备后,“大规模使用 DNS 劫持来支持 TLS 连接的 AiTM 攻击”。</p> <p>Black Lotus Labs 工程师 <strong>Danny Adamitis</strong> 表示,观察 Forest Blizzard 如何应对今天对其间谍活动的大量关注将很有趣。他指出,该团体在 2025 年 8 月回应<a href="https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-mar-authentic_antics.pdf" target="_blank" rel="noopener">一份类似的 NCSC 报告</a>(PDF)时立即改变了策略。当时,Forest Blizzard 使用恶意软件控制一个更精准、规模更小的被入侵路由器组。但 Adamitis 表示,在 NCSC 报告发布后第二天,该团体迅速放弃了恶意软件方法,转而大规模修改数千个易受攻击路由器的 DNS 设置。</p> <p>“在上一次 NCSC 报告发布之前,他们只在非常有限的实例中使用这种能力,”Adamitis 告诉 KrebsOnSecurity。“报告发布后,他们以更系统的方式实施这种能力,并用于攻击所有易受攻击的目标。”</p> <p>TP-Link 是<a href="https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/" target="_blank" rel="noopener">面临美国全面禁令</a>的路由器制造商之一。但在 3 月 23 日,<strong>美国联邦通信委员会</strong> (FCC) 采取了更广泛的措施,<a href="https://www.fcc.gov/document/fcc-updates-covered-list-include-foreign-made-consumer-routers" target="_blank" rel="noopener">宣布</a>将不再认证在美国境外生产的消费级互联网路由器。</p> <p>FCC 警告称,外国制造的路由器已成为不可持续的国家安全威胁,安全薄弱的路由器构成了“严重的网络安全风险,可能被利用来立即并严重破坏美国的关键基础设施,并直接伤害美国公民。”</p> <p>专家反驳称,根据这项新 FCC 政策,几乎不会有新的消费级路由器可供购买(也许除了马斯克的 Starlink 卫星互联网路由器,它在德克萨斯州生产)。FCC 表示,路由器制造商可以向战争部或国土安全部申请特殊的“有条件批准”,并且新政策不影响任何先前购买的消费级路由器。</p>
查看原文
查看缓存全文

缓存时间: 2026/05/16 03:28

# 俄罗斯黑客劫持路由器窃取 Microsoft Office 令牌 来源:https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/ 安全专家今日警告称,与俄罗斯军事情报部门有关联的黑客正利用老旧互联网路由器的已知漏洞,大规模窃取 **Microsoft Office** 用户的身份验证令牌。这一间谍活动使俄罗斯政府支持的黑客能够在不部署任何恶意软件或代码的情况下,悄悄从超过 18,000 个网络的用户手中窃取身份验证令牌。 微软在[一篇博文](https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/)中表示,已识别出超过 200 个组织和 5,000 台消费设备被卷入一个由俄罗斯支持的黑客组织“**Forest Blizzard**”建立的隐秘且极其简单的间谍网络中。 目标 DNS 请求如何在路由器处被重定向。图片来源:Black Lotus Labs。 Forest Blizzard 又名 APT28(https://attack.mitre.org/groups/G0007/)和 Fancy Bear,隶属于俄罗斯总参谋部军事情报局(GRU)内的军事情报单位。APT28 在 2016 年因试图干预美国总统大选而入侵希拉里·克林顿竞选团队、民主党全国委员会及民主党国会竞选委员会,并因此声名狼藉。 互联网骨干网络提供商 Lumen 的安全部门 **Black Lotus Labs** 的研究人员发现,Forest Blizzard 的监控网络在 2025 年 12 月活动高峰期,感染了超过 18,000 台互联网路由器,这些路由器大多是不再受支持、已停产或严重落后于安全更新的型号。Lumen 的[一份新报告](https://www.lumen.com/blog-and-news/en-us/frostarmada-forest-blizzard-dns-hijacking)指出,黑客主要攻击政府机构,包括外交部、执法部门以及第三方电子邮件提供商。 Black Lotus Labs 安全工程师 **Ryan English** 表示,GRU 黑客无需在目标路由器上安装恶意软件,这些路由器主要是面向小型办公室/家庭办公室(SOHO)市场的较老型号 **Mikrotik** 和 **TP-Link** 设备。相反,他们利用已知漏洞修改路由器的域名系统(DNS)设置,使其指向黑客控制的 DNS 服务器。 英国 **国家网络安全中心**(NCSC)在[一份新公告](https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations)中详细说明了俄罗斯网络行为者如何入侵路由器,其中指出 DNS 允许用户通过输入熟悉的地址(而非关联的 IP 地址)来访问网站。在 DNS 劫持攻击中,恶意行为者会干扰这一过程,暗中将用户引向旨在窃取登录信息或其他敏感数据的恶意网站。 English 表示,Forest Blizzard 攻击的路由器被重新配置为使用指向攻击者控制的少数虚拟私有服务器的 DNS 服务器。重要的是,攻击者可以将其恶意 DNS 设置传播到本地网络中的所有用户,从而拦截这些用户传输的任何 OAuth 身份验证令牌(https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-auth-code-flow)。 由于这些令牌通常只在用户成功登录并完成多因素身份验证后才会传输,因此攻击者无需逐个钓鱼获取用户的凭证和/或一次性代码,便可直接访问受害者账户。 English 说:“每个人都在寻找某种复杂的恶意软件来部署到你的移动设备上。这些人没有使用恶意软件。他们用一种老派、资深黑客的方式实现了目的,这种方式并不炫酷,但很有效。” 微软将 Forest Blizzard 的活动描述为利用 DNS 劫持“支持针对 Microsoft Outlook 网页域的传输层安全(TLS)连接,在入侵后实施中间人(AiTM)攻击”。这家软件巨头表示,虽然针对 SOHO 设备并非新战术,但这是微软首次看到 Forest Blizzard“在利用边缘设备后,大规模使用 DNS 劫持来支持对 TLS 连接实施 AiTM”。 Black Lotus Labs 工程师 **Danny Adamitis** 表示,Forest Blizzard 对今天针对其间谍行动的大量关注会作何反应将值得关注,并指出该组织在 2025 年 8 月针对一份类似的 NCSC 报告(PDF)(https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-mar-authentic_antics.pdf)后立即改变了策略。当时,Forest Blizzard 使用恶意软件控制更小规模、更有针对性的被入侵路由器组。但 Adamitis 表示,在 NCSC 报告发布的第二天,该组织迅速放弃了恶意软件方法,转而大规模修改数千台易受攻击路由器的 DNS 设置。 Adamitis 告诉 KrebsOnSecurity:“在上一份 NCSC 报告发布之前,他们只在非常有限的实例中使用了这种能力。报告发布后,他们以更系统的方式实施了这种能力,并用于攻击所有易受攻击的目标。” TP-Link 是在美国面临全面禁令(https://krebsonsecurity.com/2025/11/drilling-down-on-uncle-sams-proposed-tp-link-ban/)的路由器制造商之一。但 3 月 23 日,**美国联邦通信委员会**(FCC)采取了更广泛的措施,宣布(https://www.fcc.gov/document/fcc-updates-covered-list-include-foreign-made-consumer-routers)将不再认证在美国境外生产的消费级互联网路由器。 FCC 警告称,外国制造的路由器已成为难以承受的国家安全威胁,且安全性差的路由器存在“严重的网络安全风险,可能被利用来立即并严重破坏美国关键基础设施,直接伤害美国民众”。 专家们反驳称,根据这项新 FCC 政策,几乎不会有新的消费级路由器可供购买(也许除了在得克萨斯州生产的马斯克 Starlink 卫星互联网路由器)。FCC 表示,路由器制造商可以向战争部或国土安全部申请特殊的“有条件批准”,且新政策不影响任何此前已购买的消费级路由器。

相似文章

Microsoft Copilot Cowork 文件外泄

Hacker News Top

PromptArmor 的研究人员展示了 Microsoft Copilot Cowork 可能通过间接提示注入被利用,从 Microsoft 365 中窃取文件,利用的是当接收者为活跃用户时某些操作缺乏审批的漏洞。

超过1700万台设备的僵尸网络被捣毁

Ars Technica

荷兰当局与国家网络安全中心合作,捣毁了一个由200台服务器管理、包含超过1700万台设备的僵尸网络,该网络与俄罗斯代理服务提供商ASOCKS有关联。

伊朗支持的黑客声称对医疗科技公司Stryker发动擦除攻击

Krebs on Security

伊朗支持的黑客组织Handala声称对医疗科技公司Stryker发动了数据擦除攻击,据称导致超过20万台设备瘫痪,并迫使该公司在79个国家的办事处关闭。此次攻击利用Microsoft Intune远程擦除设备,该组织表示这是为了报复美国对伊朗一所学校的导弹袭击。