【安全资讯】国际执法行动摧毁APT28路由器DNS劫持攻击，阻止微软账户凭证窃取

概要：

近日，一场由多国执法机构与私营企业联合开展的国际行动成功摧毁了名为“FrostArmada”的网络攻击活动。该活动由俄罗斯高级持续性威胁组织APT28（又称Fancy Bear）发起，通过劫持全球数万台MikroTik和TP-Link等品牌的小型办公/家用路由器，篡改DNS设置，对微软365等服务的登录凭证进行中间人窃取。此次行动凸显了针对网络基础设施的供应链攻击对全球政府、执法及IT服务提供商构成的严重威胁。

主要内容：

在FrostArmada攻击中，APT28主要针对暴露在互联网上的路由器设备进行入侵。一旦得手，攻击者便修改设备的DNS配置，将其指向其控制的虚拟专用服务器。这些恶意VPS充当DNS解析器，将用户对特定认证域名的查询请求重定向到攻击者架设的中间人代理服务器。攻击者利用动态主机配置协议，将恶意DNS设置自动推送给内网设备，扩大了感染范围。

攻击的核心技术在于DNS劫持与中间人攻击的结合。当受害者尝试访问微软Outlook等目标服务时，其流量被路由至攻击者的代理。虽然受害者可能会收到无效TLS证书的警告，但若忽略此提示，其未加密的通信内容，包括微软账户登录凭据和OAuth令牌，便会被攻击者截获。据微软和Black Lotus Labs报告，攻击高峰时全球有120个国家的约1.8万台设备受影响。

此次攻击活动显示出高度的组织性，分为“扩展团队”和“凭证收集”两个集群运作。前者负责入侵设备、扩大僵尸网络，后者则专司中间人攻击与数据窃取。攻击目标具有选择性，主要针对政府部门、执法机构、IT及托管服务提供商等拥有自有服务器的组织，在非洲、中美洲和东南亚地区尤为活跃。

随着执法部门与安全公司的联合干预，相关恶意基础设施已被下线。安全专家建议企业通过移动设备管理方案实施证书钉扎、及时修补漏洞、减少公网暴露面并淘汰老旧设备，以防范此类攻击。微软与英国国家网络安全中心也提供了入侵指标和防护指南，协助防御者识别和阻止DNS劫持攻击。