微软曝俄罗斯黑客劫持5000台路由器

8月，微软安全团队追踪到一个异常信号：全球数千台家用路由器正在悄悄把用户的网页浏览记录，定向转发到莫斯科某处数据中心。这不是科幻片开场，是俄罗斯军事情报单位APT28（代号Forest Blizzard）正在进行的实况直播。

攻击规模已经成型：200多个组织机构、至少5000台消费级设备沦陷，覆盖政府、能源、电信等关键领域。最讽刺的是，受害者几乎毫无察觉——他们的网速没变慢，视频照刷，邮件照发，只是每次输入网址时，查询请求都先绕了一趟俄罗斯。

路由器：被忽视的"数字看门人"

SOHO路由器（小型办公/家庭办公路由器）是这次攻击的突破口。这类设备通常由宽带运营商赠送或用户自行购买，价格从几十到几百元不等，安全更新却往往是"一锤子买卖"——出厂后几乎不再维护。

微软威胁情报团队发现，Forest Blizzard自2025年8月起系统性地扫描这些设备的漏洞。攻击者不需要什么高级手段：弱密码、未修补的固件漏洞、默认管理界面暴露在外网，任选其一就能拿到路由器的管理员权限。

拿到权限后，操作极其隐蔽。攻击者修改的不是什么显眼配置，而是DNS解析器设置——这个技术细节普通用户一辈子不会主动查看。DNS（域名系统）相当于互联网的"电话簿"，把人类可读的网址（如outlook.com）翻译成机器能识别的IP地址。

Forest Blizzard把路由器的默认DNS服务器，替换成了自己控制的恶意节点。这一步的精妙之处在于：它利用了DHCP（动态主机配置协议）的自动分发机制。所有接入该路由器的手机、电脑、平板，都会自动继承这个"毒配置"，无需对每台终端设备单独下手。

微软评估认为，攻击者大概率利用了dnsmasq——一款内置于大量家用路由器的开源DNS转发工具。这个原本合法的组件被重新配置后，开始在53端口监听并拦截所有DNS查询。对终端用户来说，网页照样能打开，只是每次查询都经过了攻击者的"过路费"收费站。

从"偷看地址簿"到"拆封加密信件"

被动收集DNS查询已经能让攻击者勾勒出目标的数字生活轮廓：访问了哪些云服务、使用哪家邮件提供商、常去什么内部系统。但Forest Blizzard的胃口不止于此。

针对高价值目标——微软确认了至少三个非洲国家的政府服务器，以及Microsoft Outlook网页版——攻击者升级到了AiTM攻击（Adversary-in-the-Middle， adversary-in-the-middle/中间人攻击）。

TLS（传输层安全协议）加密通信本该是安全的。正常情况下，你的浏览器和服务器之间建立加密隧道，中间人只能看到乱码。但DNS劫持为攻击者打开了一条侧门：他们可以伪造目标网站的证书，诱导用户连接到一个由攻击者控制的代理节点。

用户以为自己正在登录outlook.com，实际上流量先流经了俄罗斯情报基础设施。攻击者能实时读取邮件内容、截取附件、记录登录凭证，而浏览器地址栏里那把"小锁"图标可能依然亮着——因为攻击者可以签发看似合法的证书，或者利用某些客户端的证书验证缺陷。

微软强调，此次事件中没有微软自有资产或服务被直接入侵。言下之意：是用户的网络接入路径被污染，而非微软的服务器本身存在漏洞。这种区分对责任认定很重要，但对受害者来说区别有限——邮件内容照样泄露。

为什么偏偏是家用路由器？

企业级网络有专门的安全团队、入侵检测系统、定期漏洞扫描。家用和小型办公场景则是另一套逻辑：设备便宜、更新滞后、无人值守、安全意识淡薄。

Forest Blizzard的选择体现了一种"成本-收益"的冷酷计算。控制一台企业防火墙可能需要高级零日漏洞和精密的社会工程；控制一台用了五年没更新固件的家用路由器，可能只需要尝试几十个默认密码组合。

更关键的是规模效应。一台被攻陷的路由器背后，可能是整个家庭的数字足迹，或是小型创业公司的全部业务流量。微软观察到的5000台设备只是冰山一角——这些是能确认受害的，实际感染规模可能更大。

攻击者的资源投放也呈现明显的"分层"特征：对普通消费者，止于DNS收集；对政府、能源、电信等"高价值目标"，才动用TLS中间人攻击的重量级手段。这种纪律性说明这不是随机犯罪，而是有明确情报收集优先级的国家行为。

微软的应对与未竟之问

微软威胁情报中心（MSTIC）和微软安全响应中心（MSRC）在确认攻击后，采取了典型的"破坏-降级"策略：向受影响的用户和组织直接发出通知，协助清理恶意DNS配置，并推动路由器厂商发布安全更新。

但结构性难题依然存在。SOHO设备的安全生态长期处于"无人负责"状态：运营商觉得设备是用户的，用户觉得是运营商的，厂商卖完硬件就转向下一代产品。微软在报告中特别呼吁，需要建立针对这类设备的持续安全更新机制。

Forest Blizzard的身份已经无需猜测。APT28/Strontium的归属在俄罗斯军事情报总局（GRU）第六局，这个单位的名字在过去十年里与民主党全国委员会邮件泄露、NotPetya勒索软件攻击、奥运会破坏事件等一连串行动联系在一起。

这次行动的新意在于攻击载体的选择。相比钓鱼邮件或软件漏洞，路由器级别的DNS劫持更难被终端安全软件检测——你的杀毒软件运行在电脑上，怎么知道路由器已经把DNS服务器换成了莫斯科的地址？

微软将此次攻击链的完整技术细节和入侵指标（IoC）共享给了网络安全社区，包括恶意DNS服务器的IP地址段、被滥用的证书特征等。这种信息共享是国家背景攻击对抗中的标准动作，但攻防节奏并不对等：防御方需要修补数百万台分散在千家万户的设备，攻击方只需要找到下一个默认密码为"admin"的入口。

一个值得注意的细节是时间线。微软确认攻击活跃期"至少从2025年8月开始"，这意味着在公开披露前，这场静默的数据收集已经持续了数月。对于情报机构来说，这种"潜伏期"本身就是价值——观察得越久，绘制的目标画像越完整。

普通用户能做什么？检查路由器管理界面的DNS设置，确认不是陌生的IP地址；启用自动固件更新（如果有的话）；考虑使用DoH（DNS over HTTPS）或DoT（DNS over TLS）等加密DNS方案，让路由器层面的劫持更难实施。但这些建议的前提是：用户得先知道问题存在。

微软的报告结尾没有给出乐观的预测。Forest Blizzard的基础设施仍在运行，攻击模式已经被验证有效，而全球SOHO设备的平均安全水平在短期内看不到跃升的可能。下一次当你输入网址时，那个查询请求会经过多少双眼睛，或许连你的路由器都不会告诉你。

你家路由器的DNS设置，上次检查是什么时候？