美國破壞APT28架設的AiTM網釣基礎設施,駭客綁架TP-Link路由器從事DNS挾持活動
事件背景與關鍵細節
美國司法部與聯邦調查局(FBI)於4月7日宣佈,取得法院授權後,在美國境內破壞與俄羅斯聯邦軍隊總參謀部情報總局(GRU)旗下駭客團體APT28(Sofacy Group、Forest Blizzard、Fancy Bear)設置的網路環境。此網路透過綁架多臺SOHO路由器組成,用於對俄羅斯當局關注的軍情目標進行惡意DNS挾持活動。
技術手法與影響範圍
- 駭客利用TP-Link等主流品牌路由器的漏洞,綁架設備並植入惡意程式,使路由器成為惡意DNS查詢重導的中繼點。
- 攻擊者透過遠端程式碼執行(RCE)取得控制權,可攔截或操控未加密流量,並在會話中注入惡意載荷。
- 此類活動範圍涵蓋軍事單位、政府機關及關鍵公共部門,對國家安全構成重大威脅。
國際反應與相關調查
英國政府亦曾警告,APT28組織利用MikroTik與TP-Link等路由器漏洞,實施憑證竊取與流量劫持,顯示此類攻擊手法已擴散至多個國家與品牌。
美國CISA(國家資訊安全中心)已針對TP-Link多款路由器揭露零日漏洞,並警告相關設備可能遭攻擊利用。
後續發展與政策動向
美國多個州與國會成員已關注TP-Link產品的資安風險,並提出禁售建議。美國政府亦持續調查其設備是否允許中國政府獲取用戶資料,相關訴訟與調查正持續進行中。