文章总结： 2026年4月FBI联合国际盟友披露GRU利用TP-Link等路由器漏洞（如CVE-2023-50224）进行全球DNS劫持攻击，通过恶意DNS解析器窃取OAuth令牌等凭证。FBI发起伪装行动经法院授权远程修复被控设备，删除恶意配置并恢复合法DNS。事件揭示物联网设备成为地缘博弈前线，建议用户更新固件、更换老旧设备并警惕证书警告。 综合评分： 85 文章分类： 漏洞分析,威胁情报,网络安全,应急响应,红队

暗战路由器：FBI如何反制GRU的“花式熊”DNS劫持网络

原创

网空闲话 网空闲话

网空闲话plus

2026年4月10日 07:12 北京

在小说阅读器读本章

去阅读

2026年4月，一场持续近两年的隐蔽网络战争被公之于众。一方是俄罗斯顶尖军事情报机构——总参谋部情报总局（GRU）所属第85特别勤务中心（85th GTsSS）第26165军事单位（俗称APT28、Fancy Bear、Forest Blizzard），另一方是美国联邦调查局（FBI）及其遍布北美、欧洲和亚洲的十余个国际盟友。这场争夺的战场，并非国家级的核心网络，而是潜伏在千家万户和无数小型办公室中的家用路由器。从“花式熊”的隐蔽渗透到“伪装行动”的精准反制，这是一场关于数字主权、情报获取与执法权限的巅峰对决。

第一幕：GRU的渗透——利用漏洞，劫持DNS解析器

据美国司法部（DoJ）和联邦调查局（FBI）于2026年4月7日联合宣布，俄罗斯GRU至少从2024年起便展开了一场全球性的网络渗透行动。他们的目标直指防护薄弱却掌握网络入口的SOHO路由器，尤其是TP-Link和拉脱维亚的MikroTik品牌设备。

GRU的战术堪称经典。他们利用路由器中的已知漏洞，例如影响TP-Link WR841N等型号的CVE-2023-50224，该漏洞允许未经身份验证的攻击者通过特制的HTTP GET请求获取路由器的密码凭证。获得控制权后，GRU修改设备的DHCP/DNS设置，将其指向攻击者控制的VPS——即恶意DNS解析器。英国国家网络安全中心（NCSC）在其2026年4月7日发布的技术分析中明确指出，“俄罗斯总参谋部情报总局（GRU）一直在配置虚拟专用服务器（VPS）以作为恶意DNS解析器运行”。

所有连接至该路由器的下游设备（如笔记本电脑、手机）都将继承这些恶意设置。当用户尝试访问特定域名（NCSC公布的名单包括outlook.live.com、outlook.office365.com等）时，GRU的DNS服务器便会返回欺诈性记录，将流量重定向至攻击者控制的中间人（AitM）节点。NCSC警告称，这使GRU能够“发起中间人攻击，从而窃取密码、OAuth令牌以及用于网页和电子邮件服务的其他凭证”。

GRU的操作经历了从“广撒网”到“精准筛选”的演变。美国司法部指出，“最初的攻击是不加区分的”，但随后攻击者开发了自动化过滤系统，以找出“感兴趣的DNS请求并进行潜在的拦截”。Lumen公司的Black Lotus Labs将此次行动追踪为“FrostArmada”，并发现其目标极具战略性，主要针对“政府机构——包括外交部、执法机构以及第三方电子邮件提供商”。微软威胁情报团队则将其追踪为“Storm-2754”。Lumen的数据显示，截至2025年12月，已有超过18,000个独立IP地址与GRU基础设施通信（在更宽泛的统计中，这一数字一度超过290,000），影响范围覆盖约120个国家。被GRU锁定的TP-Link路由器型号超过20款，其中多数已停产且不再受支持。

第二幕：FBI的反制——“伪装行动”，法院授权下的远程干预

面对GRU利用美国本土设备发起的间谍活动，FBI没有选择被动预警。根据在宾夕法尼亚州东区法院解封的法庭文件，FBI策划并执行了一场代号“伪装行动”（Operation Shell Game）的精确技术反制。

这场行动的核心看点在于：FBI采用了与GRU相同的远程访问方法，但目的截然相反。联邦调查局获得了法院许可，向已被入侵的路由器发送特定指令。这些指令旨在完成三项任务：一是收集GRU在这些路由器上活动的证据；二是删除恶意的俄罗斯DNS解析器，并用用户ISP提供的合法解析器取而代之；三是以其他方式阻止GRU利用其原始未经授权的访问手段。

美国司法部在公告中强调，在发出指令之前，执法部门对受影响TP-Link路由器的固件和硬件进行了“广泛的测试”，并确认该操作“不会影响路由器的正常功能或收集合法用户的内容信息”。这确保了反制行动的精准性与安全性。

这一技术并非首次使用。材料一指出，2021年FBI就曾采用类似方法清除受感染的Microsoft Exchange服务器上的Web Shell。而此次行动的成功，标志着该技术被成熟应用于民用物联网设备领域。更值得关注的是，FBI正与互联网服务提供商合作，主动向受影响用户发出通知。同时，行动充分尊重了用户的最终自主权：任何合法用户都可以通过硬件重置按钮将路由器恢复出厂设置，从而撤销FBI所做的任何更改。

第三幕：技术对决的核心——AitM、证书警告与OAuth令牌劫持

这场对决的技术深度体现在中间人攻击的完整链条上。Black Lotus Labs的技术报告详细还原了GRU的作案手法：当用户访问被劫持的域名时，GRU的代理服务作为AitM介入。此时，用户的浏览器会弹出一个关于“连接到不受信源”的证书警告。如果用户忽视或点击通过该警告，GRU的代理便能够“中断并检查”加密流量，将请求转发至合法服务，同时在中点收集数据。最终，GRU能够“在完成多因素挑战后，获取有效的OAuth令牌”。

这意味着，即使启用了多因素认证，用户的账户安全依然可能被攻破。FBI波士顿分局负责人泰德·E·多克斯特工指出，GRU利用美国23个州居民的路由器，窃取了敏感的政府、军事和关键基础设施信息。

结论与展望：一场持久战与未来预测

截至2026年4月，FBI及国际合作伙伴已成功识别、干扰并部分摧毁了GRU部署在美国境内的恶意路由器网络。司法部国家安全助理部长约翰·A·艾森伯格总结道：“国家安全局将继续利用一切可用手段来检测此类入侵，并将敌对的外国行为者从我国网络中驱逐出去。”

然而，这场战争远未结束。Lumen在其分析报告中发出警告：“鉴于他们（Forest Blizzard）在方法公开后仍能适应并继续行动的习性，我们预计他们会通过其他方式恢复活动。”

对未来类似对抗的预测：

1. 攻击向量将更加多元化：GRU已展示了从“密码喷洒”到“钓鱼”，再到“DNS劫持”的快速战术迭代能力。未来，他们极有可能将目标转向更底层的网络协议（如IPv6 DNS）、加密DNS（DoT/DoH）的滥用，或利用零日漏洞攻击其他品牌的边缘设备（如企业级防火墙，Lumen已观察到对Fortinet和Nethesis设备的试探性攻击）。
2. 防御方的“主动式”反制将常态化：FBI此次“伪装行动”开创了一个重要先例——经法院授权、对民用设备进行远程、非破坏性的执法反制。这很可能成为未来西方国家应对国家级网络渗透的标准化操作流程。我们或将看到更多此类“数字驱离”行动，而非仅仅发布预警。
3. 物联网设备将成为地缘政治博弈的前线：家用路由器、接入点乃至更广泛的物联网设备，因其数量庞大、更新滞后，将成为国家级情报机构与执法部门争夺的“战略高地”。对于设备制造商而言，强制性的自动安全更新、硬件级安全认证将成为生存底线。
4. “证书警告”教育刻不容缓：此次事件暴露出用户安全意识仍然是安全链条中最薄弱的一环。GRU的成功很大程度上依赖于用户“点击通过”证书错误警告。未来，所有针对加密流量的中间人攻击都将依赖这一步。因此，对公众进行更深入的证书安全教育和浏览器策略的强制化（如禁止忽略某些类型的证书错误）将成为防御重点。

对于全球数以亿计的路由器用户而言，这场巅峰对决留下了清晰的行动指南：更换已停产的设备、更新至最新固件、更改默认密码、禁用来自互联网的远程管理接口，并对任何证书错误警告保持最高警惕。这场发生在数字世界角落的战争，提醒着每一个人：网络安全，从未如此贴近生活。

参考资源

1、https://www.itnews.com.au/news/fbi-remotely-patched-privately-owned-routers-to-evict-russian-gru-spies-624880?utm_source=feed&utm_medium=rss&utm_campaign=iTnews+

2、https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

3、https://www.lumen.com/blog-and-news/en-us/frostarmada-forest-blizzard-dns-hijacking

4、https://www.ic3.gov/PSA/2026/PSA260407

5、https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《暗战路由器：FBI如何反制GRU的“花式熊”DNS劫持网络》