4月7日美國司法部(DOJ)與聯邦調查局(FBI)宣布,他們取得了法院授權,於美國境內破壞與俄羅斯聯邦軍隊總參謀部情報總局(GRU)旗下駭客團體APT28(Sofacy Group、Forest Blizzard、Fancy Bear)設置的網路環境,此網路是經由綁架多臺SOHO路由器所組成,駭客將其用於對俄羅斯當局關注的軍情目標,進行惡意DNS挾持活動,範圍涵蓋軍事單位、政府機關,以及關鍵基礎設施。
美國司法部指出,APT28至少從2024年開始,利用已知漏洞竊得全球數千臺TP-Link路由器憑證,然後竄改這些路由器的DNS設定,使其導向GRU控制的惡意DNS解析器。
值得留意的是,駭客後來導入自動過濾機制,攔截特定的DNS請求。他們針對特定的目標,透過解析器提供特定網域名稱的假DNS紀錄,藉此模仿合法的IT系統服務,其中一種是Microsoft Outlook Web Access。而這種利用路由器組成的網路環境,APT28主要將其用於對手中間人攻擊(AiTM),從而解開使用者加密的網路流量,從受害路由器所處的網路環境裡,挖掘裝置上的密碼、身分驗證權杖(Token)、電子郵件,以及其他敏感資料。
根據賓州地方法院的文件,FBI開發一系列指令,發送給美國遭到入侵的路由器,除了收集駭客行為的證據,也重置路由器的DNS組態設定,並防堵駭客初期入侵的管道。不過即便如此,美國司法部還是呼籲所有用戶最好採取行動,汰換已終止支援的機種、套用最新版韌體、檢查DNS解析器的設定,以及設置防火牆規則,來降低路由器遭到滲透的風險。
