據 CNET 報道,近來一個由俄羅斯軍事情蒐單位 GRU(又名 APT28、Fancy Bear 等)發起的長期攻擊,鎖定家用與小型辦公(SOHO)路由器,影響覆蓋美國 23 個州。事件被揭露後,FBI 在 4 月發出聯合公告並取得法院授權,遠端重設了數千台被入侵的路由器;但官方也強調,有五項緊急措施需要由每位路由器擁有者親自執行。
為何小型家用路由會成為目標?
這次攻擊重點鎖定 SOHO 路由器,原因在於不少裝置被長期忽視、韌體停止更新或仍使用廠商預設管理帳號,成為容易被攻破的入口。微軟與 NSA 的相關分析指出,攻擊者的目的是透過 DNS 劫持持續蒐集軍事、政府與關鍵基礎設施相關資訊;微軟亦指出受影響的對象包括超過 200 個組織與逾 5,000 台消費型裝置。
DNS 劫持是怎麼運作?為何危險?
此類攻擊主要透過改動路由器的預設網絡設定(例如 DNS 設定),攔截使用者的 DNS 查詢,讓流量在未解密的情況下被監視或導向惡意伺服器。對國家級的威脅行為者而言,DNS 劫持能在大範圍內長期、被動地取得網絡可視性,對敏感帳號與通訊造成風險。
FBI 建議的核心五步(重點整理)
- 更新韌體:若路由器仍有官方支援,盡快升級到最新韌體;受影響的舊機通常已屬 End of Service/End of Life,廠商建議直接更換。
- 更改預設管理帳號與密碼:避免使用出廠預設認證,改用強密碼並定期更新。
- 檢查與重設 DNS 設定:到路由器管理頁面檢視 DNS 是否被改動,若有異常建議恢復預設或改成你信任的 DNS 伺服器(來源未指名特定供應商)。
- 對已疑似受感染的裝置執行恢復出廠設定或重設:若不確定狀況,先將裝置重設、重新設定並更換管理密碼。
- 優先替換已停止支援的舊機:像 CNET 舉例的 TP‑Link TL‑WR841N 等舊款機型已多年未獲維護,廠商亦建議改用仍獲安全更新的新版路由器。
需要注意的是,FBI 已遠端處理部分受侵設備,但個人網絡的長期安全仍仰賴用戶自己執行以上步驟。
香港用家應該怎麼做?
雖然這波攻擊主要發生在美國,但概念與教訓對香港與亞洲用戶同樣適用。建議步驟包括:檢查你的路由器是否列入廠商公告或安全通報,若裝置已超過支援期應考慮更換;登入路由器管理介面查看韌體版本、管理帳號與 DNS 設定;啟用自動更新或定期檢查廠商安全公告。若你使用的是 ISP 提供的路由器,也應向 ISP 詢問裝置是否仍受支援及有無相關補丁。
這次事件提醒我們,路由器在家庭網絡中處於關鍵位置,所有流量都會經過該裝置。保持韌體更新、改掉預設密碼、留意 DNS 設定,是最直接、也最有效的基礎防護。
資料來源:CNET
本文由 optiz.hk 整理與分析;原始報導與更多細節請見下方資料來源連結。
