英国网络安全中心警告：俄罗斯国家级黑客正在劫持 TP-Link 和 MicroTik 路由器，窃取 Outlook 凭证

调查称 APT28 组织通过篡改 DNS 将流量重定向到攻击者控制的服务器

英国国家网络安全中心（NCSC）周二发布警告，称自 2024 年以来，俄罗斯国家黑客组织 APT28 一直利用存在漏洞的小型办公和家庭用（SOHO）路由器，篡改其 DHCP 和 DNS 设置，把下游流量引导到攻击者控制的 DNS 服务器，从而窃取网站和电子邮件服务的密码及认证令牌。

NCSC 评估认为，APT28“几乎可以肯定”是俄罗斯总参（GRU）下属的第 85 主要特勤中心（军事情报局 26165 部）。

攻击流程

根据该通报，攻击者把虚拟私有服务器设置为恶意的 DNS 解析器，然后通过修改 SOHO 路由器的 DHCP DNS 配置，把这些路由器指向这些恶意解析器。该网络中的笔记本电脑、手机等终端设备会自动继承这些 DNS 设置，随后开始向攻击者控制的服务器发送域名查询。

对某些目标服务（比如登录页面）的域名查询会被重定向到攻击者控制的 IP，这些 IP 托管着“中间人”设施。与此相对的，非目标范围内的请求则会解析到真实的地址，以免中断用户连接。

一旦受害者通过攻击者控制的基础设施连接，APT28 会试图从浏览器和桌面应用中窃取密码以及 OAuth 或其他类似的认证令牌。安全通报列出的目标域名包括 autodiscover-s.outlook.com、imap-mail.outlook.com、outlook.live.com、outlook.office.com 和 outlook.office365.com。

受影响的路由器型号

NCSC 指出，TP‑Link WR841N 路由器是 APT28 利用的目标之一，攻击者可能利用了 CVE‑2023‑50224——一个无需认证的信息泄露漏洞，能通过 HTTP GET 请求获取路由器凭据。拿到凭据后，攻击者会发出第二个 GET 请求修改 DHCP 的 DNS 设置，把主 DNS 指向恶意 IP，把备用 DNS 设置为原先的主 DNS。

通报列出此次攻击中被针对的 20 多款 TP-Link 型号，包含 Archer C5、Archer C7、WDR3500、WDR3600、WDR4300、WR1043ND、MR3420、MR6400（LTE）以及多个版本的 WR740N、WR840N、WR841N、WR842N、WR845N 和 WR941ND。

另有一组攻击者控制的基础设施接收到来自被入侵的 MikroTik 路由器和 TP-Link 设备转发的 DNS 请求，并被用来对少量 MikroTik 路由器进行交互式操作。NCSC 表示这些常位于乌克兰的 MikroTik 设备很可能具有情报价值。

🗒 标签: #路由器 #网络安全 #Outlook
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

国家安全机关破获美国国家安全局重大网络攻击案

近期，国家安全机关破获一起美国重大网络攻击案，掌握美国国家安全局网络攻击入侵中国国家授时中心的铁证，粉碎美方网攻窃密和渗透破坏的图谋，全力守护“北京时间”安全。

国家授时中心

国家授时中心位于陕西省西安市，承担“北京时间”的产生、保持和发播任务，为国家通信、金融、电力、交通、测绘、国防等行业领域提供高精度授时服务，还为测算国际标准时间提供重要数据支撑。

国家授时中心自主研发了世界领先的时间自主测量系统，还建设有国家重大科技基础设施——高精度地基授时系统，相关设施一旦遭受网攻破坏，将影响“北京时间”的安全稳定运行，引发网络通信故障、金融系统紊乱、电力供应中断、交通运输瘫痪、空天发射失败等严重后果，甚至可能导致国际时间陷入混乱，危害损失难以估量。

针对国家授时中心的网络攻击

经国家安全机关缜密调查发现，美国安局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点。

2022年3月25日起，美国安局利用某境外品牌手机短信服务漏洞，秘密网攻控制国家授时中心多名工作人员的手机终端，窃取手机内存储的敏感资料。

2023年4月18日起，美国安局多次利用窃取的登录凭证，入侵国家授时中心计算机，刺探该中心网络系统建设情况。

2023年8月至2024年6月，美国安局专门部署新型网络作战平台，启用42款特种网攻武器，对国家授时中心多个内部网络系统实施高烈度网攻，并企图横向渗透至高精度地基授时系统，预置瘫痪破坏能力。

活动特征

国家安全机关发现，美国安局网攻活动多选在北京时间深夜至凌晨发起，利用美国本土、欧洲、亚洲等地的虚拟专用服务器作为“跳板”隐匿攻击源头，采取伪造数字证书绕过杀毒软件等方式隐藏攻击行为，还使用了高强度的加密算法深度擦除攻击痕迹，为实施网络攻击渗透活动可谓无所不用其极。

国家安全机关见招拆招，固定美方网攻证据，指导国家授时中心开展清查处置，斩断攻击链路，升级防范措施，消除危害隐患。

🗒 标签: #国安局 #网络攻击 #国家授时中心
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

巴基斯坦对印度发起网络攻击 致其约70%电网瘫痪

据巴基斯坦军方消息人士称，在该国发起的“铜墙铁壁”军事行动中，巴对印度发动网络攻击，致使印度约70%电网瘫痪。（央视新闻)

🗒 标签: #网路攻击
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

据报道，去年有60万台美国的路由器因网络攻击而变砖

根据 Lumen Technologies 的威胁研究部门 Black Lotus Labs 发布的新研究，去年 10 月 25 日至 27 日期间发生的一起网络攻击导致中西部几个州超过 60 万台互联网路由器瘫痪。尽管有数十万台路由器无法使用，但当时这一事件并未被披露。

调查也没有具体说明哪家公司是目标，但路透社表示，通过对比同期的互联网中断报告，已确定目标是位于阿肯色州的互联网服务提供商 Windstream。Windstream 的服务区域覆盖了许多农村或服务不足的社区，该公司拒绝了 The Verge 的置评请求。

黑莲花实验室根据社交媒体和故障检测器上的反复投诉，调查了特定路由器，特别是 ActionTec T3200 和 ActionTec T3260。用户报告说，只有在供应商更换受影响的设备后，他们的问题才得以解决。

恶意固件包“Chalubo”被发现删除了受影响路由器上的部分操作代码。这是一种常见的远程访问木马。目前还不清楚这些固件是如何传送给用户的——是通过未知的漏洞、弱密码，还是通过访问管理工具——也不清楚是谁发动了这次攻击。研究人员称这次攻击是“故意导致服务中断的行为”。

虽然还有一些谜团未解，Black Lotus Labs 建议各组织保护管理设备，避免使用默认密码等基本安全漏洞。消费者也被鼓励及时进行常规的安全更新。

🗒 标签: #网络攻击 #路由器
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot