首页 网络安全 网安动态 查看内容

俄黑客组织入侵18000多台路由器,攻击超200家政企机构,意欲何为? ...

2026-5-19 15:21 832 0

摘要: DNS污染的主要攻击方式DNS污染,也称为DNS缓存投毒,是指攻击者向递归DNS服务器发送伪造的响应包,使其缓存错误的解析记录。然而,2026年Usenix安全会议上发表的一项研究表明,攻击者可以利用BIND9DNS服务器中伪随机数生成器的弱点,从客户端完全预测这两个参数,实现高成功率的缓存投毒攻击。
关键词:DNS服务, DNS服务器, DNS, DNS安全, 路由器DNS, DNS缓存, DNS协议, APT28, 攻击者, 服务器


[导读]

域名系统作为互联网的"导航中枢",正成为网络攻击的核心目标。2026年APT28组织发起的全球路由器DNS劫持攻击,波及上千家机构,暴露了DNS安全的严峻形势。本文结合CoWDAO域名劫持、ApifoxCDN投毒等近一年典型案例,拆解域名劫持与DNS污染的技术原理与攻击链条,剖析不同场景的危害,同时为企业和个人提供全维度防范指导,筑牢互联网入口防线。


今年4月7日,微软安全团队发布紧急预警,披露了俄罗斯GRU下属APT28(Forest Blizzard)组织发起的大规模DNS劫持攻击。 


该组织从2025年8月开始,利用路由器漏洞入侵了全球18000多台家用和小型办公路由器,篡改其DNS设置,将用户流量导向恶意服务器。 


在攻击高峰期,超过200家政府机构、能源企业和电信运营商受到影响,攻击者成功窃取了大量Microsoft365的OAuth认证令牌,绕过了多因素认证保护。 


这起事件再次敲响了警钟:作为互联网"导航系统"的DNS,正成为网络攻击的核心目标。 


域名系统(DNS)是互联网的基础架构,它将人类易记的域名转换为计算机可识别的IP地址。然而,这个看似简单的转换过程却存在着诸多安全漏洞。 


近一两年,域名劫持和DNS污染事件呈现出爆发式增长态势,攻击手段不断升级,从传统的缓存投毒发展到社会工程学攻击、供应链投毒和国家级网络战。 


这些攻击不仅会导致用户无法正常访问网站,还会被用于钓鱼欺诈、数据窃取和恶意软件分发,给企业和个人造成了巨大的损失。 


本文将从技术原理入手,结合近一两年发生的真实典型案例,深入剖析域名劫持与DNS污染的攻击模式与危害,并为企业和个人提供切实可行的防范指导。





域名劫持与DNS污染的技术原理与攻击链条



域名劫持和DNS污染虽然经常被混为一谈,但它们是两种不同的攻击方式,都通过篡改DNS解析结果来达到攻击目的。理解它们的技术原理,是有效防范的前提。



一、DNS系统的工作原理与固有缺陷




正常的DNS解析过程是一个分层查询的过程。


当用户在浏览器中输入一个域名时,设备首先会查询本地DNS缓存,如果没有找到对应的记录,就会向本地递归DNS服务器(通常由ISP提供)发送查询请求。


递归服务器会依次向根域名服务器、顶级域名服务器和权威域名服务器查询,最终获取正确的IP地址并返回给用户。


然而,传统的DNS协议在设计之初并没有考虑安全性,存在着三个致命的缺陷:


首先,DNS查询和响应数据都是以明文形式传输的,攻击者可以轻易地拦截和篡改这些数据;


其次,DNS协议缺乏有效的数据源认证机制,递归服务器无法验证返回的响应是否来自合法的权威服务器;


第三,DNS缓存机制为攻击者提供了放大攻击的机会,一旦攻击者成功污染了递归服务器的缓存,所有使用该服务器的用户都会受到影响。



二、域名劫持的主要攻击方式



域名劫持是指攻击者通过各种手段获取域名的控制权,直接修改其DNS记录,将域名解析指向恶意IP地址。根据攻击切入点的不同,域名劫持主要分为以下几种类型:


第一种是注册商账户劫持。这是最常见的域名劫持方式,攻击者通过钓鱼邮件、暴力破解或社会工程学手段获取域名注册商的账户密码,然后登录管理面板修改DNS记录。


2026年4月发生的CoWDAO事件就是典型的例子,攻击者通过伪造身份材料欺骗注册商工作人员,成功获取了cow.fi域名的控制权。


第二种是权威DNS服务器劫持。攻击者直接入侵域名的权威DNS服务器,修改区域文件中的解析记录。


这种攻击方式的危害更大,因为它会影响所有查询该域名的用户。一些安全配置薄弱的权威DNS服务器,特别是使用默认密码或存在未修复漏洞的服务器,很容易成为攻击者的目标。


第三种是悬空DNS记录劫持,也称为"坐以待毙"漏洞。当企业停止使用某项云服务但未及时删除对应的DNSCNAME记录时,攻击者可以重新注册该云服务的地址,从而合法地接管该子域名的解析流量。


2025年6月,HazyHawk黑客团伙利用这种方式控制了大量政府、高校和跨国企业的可信子域名。


第四种是路由器DNS劫持。攻击者入侵用户的家用或办公路由器,篡改其DNS服务器设置,将所有通过该路由器上网的设备的DNS查询导向恶意服务器。


这种攻击方式非常隐蔽,用户通常不会怀疑路由器被入侵,而且攻击范围广,影响人数多。APT28组织在2026年发起的大规模攻击就采用了这种方式。




三、DNS污染的主要攻击方式



DNS污染,也称为DNS缓存投毒,是指攻击者向递归DNS服务器发送伪造的响应包,使其缓存错误的解析记录。


与域名劫持不同,DNS污染不需要获取域名的控制权,而是利用DNS协议的缺陷来欺骗递归服务器。



传统的DNS缓存投毒攻击需要同时猜测UDP源端口和事务ID(TXID),成功率较低。


然而,2026年Usenix安全会议上发表的一项研究表明,攻击者可以利用BIND9DNS服务器中伪随机数生成器的弱点,从客户端完全预测这两个参数,实现高成功率的缓存投毒攻击。


这种新型攻击方式不需要攻击者控制任何权威服务器,大大降低了攻击门槛。


另一种常见的DNS污染方式是中间人攻击。攻击者在用户与递归DNS服务器之间的通信链路上插入恶意节点,截获DNS查询请求并返回伪造的响应。


这种攻击方式在公共WiFi环境中尤为常见,攻击者可以通过ARP欺骗或路由劫持来实现链路控制。




四、完整的攻击链条与危害



无论是域名劫持还是DNS污染,攻击者的最终目的都是将用户流量导向恶意网站。


一个完整的攻击链条通常包括以下几个环节:


首先是侦察阶段,攻击者收集目标域名的注册信息、DNS服务商和服务器配置;


其次是攻击阶段,通过上述方式篡改DNS解析结果;


第三是钓鱼阶段,在恶意服务器上部署与目标网站高度相似的钓鱼页面;


最后是获利阶段,诱导用户输入账号密码、下载恶意软件或进行转账操作。


这些攻击带来的危害是多方面的:对于个人用户来说,可能会导致账号被盗、财产损失和个人信息泄露;


对于企业来说,可能会导致业务中断、品牌声誉受损和客户流失;


对于国家来说,可能会威胁到关键基础设施的安全和国家信息安全。




域名劫持与DNS污染典型案例深度解析



近一两年,全球范围内发生了多起影响重大的域名劫持和DNS污染事件,这些案例充分展示了攻击手段的演变趋势,也为我们提供了宝贵的经验教训。




一、APT28路由器DNS劫持事件:国家级网络战的新武器



前文所提APT28组织大规模DNS劫持攻击,是近年来最具代表性的国家级网络攻击事件之一。


这次攻击代号为"FrostArmada",主要针对政府机构、执法部门、IT和托管服务提供商。攻击者利用了多个品牌路由器的未修复漏洞,特别是一些已经停止支持的老旧型号。


他们通过自动化工具在互联网上扫描存在漏洞的路由器,一旦发现目标,就会远程执行代码,修改路由器的DNS服务器设置,将其指向攻击者控制的恶意DNS服务器。



当用户访问Microsoft365等服务时,恶意DNS服务器会返回一个伪造的IP地址,将用户重定向到一个与官方登录页面完全相同的钓鱼网站。


用户在钓鱼网站上输入的账号密码和多因素认证代码会被攻击者实时窃取。


更严重的是,攻击者还会窃取用户的OAuth会话令牌,这些令牌可以在不输入密码的情况下长期访问用户的账户,即使用户后来修改了密码也无济于事。


这次攻击持续了近8个月,直到2026年4月才被微软安全团队发现并联合执法部门进行了打击。


这起事件表明,路由器已经成为国家级网络攻击的重要跳板,而家用和小型办公路由器的安全状况令人担忧。




二、CoW DAO社会工程学域名劫持事件:Web3领域的信任危机



今年4月14日,去中心化交易服务平台CoW DAO的官方域名cow.fi遭遇了一起精心策划的社会工程学域名劫持攻击。 


攻击者没有利用任何代码漏洞,而是通过欺骗域名注册商的工作人员,成功获取了域名的控制权。 


攻击者首先通过公开渠道收集了CoW DAO的注册信息和管理邮箱。 


然后,他们伪造了一套完整的身份材料和域名过户申请,通过注册商的客服通道发起了域名转移请求。 


在与客服人员的沟通中,攻击者营造了紧急的氛围,声称原管理邮箱无法访问,需要紧急转移域名以避免丢失。 


由于注册商的身份核验流程存在漏洞,客服人员在没有进行充分验证的情况下,就批准了域名转移请求。


攻击者在获取域名控制权后,立即修改了DNS记录,将域名指向了一个高仿的钓鱼网站。


钓鱼网站的界面与官方网站几乎一模一样,甚至使用了合法的SSL证书,让用户难以分辨。


在接下来的4.5小时内,有大量用户访问了钓鱼网站并连接了自己的加密货币钱包,攻击者诱导用户进行签名操作,窃取了约120万美元的资产。


这起事件暴露了域名注册商在身份核验方面存在的严重问题,也给Web3领域敲响了警钟。


在Web3世界中,域名是用户访问去中心化应用的唯一入口,一旦被劫持,用户的资产安全将面临巨大威胁。




三、Apifox CDN域名劫持事件:供应链投毒的新变种



2026年3月,国内数百万开发者使用的API调试工具Apifox遭遇了一起严重的CDN域名劫持攻击。


攻击者劫持了Apifox官方CDN的一个子域名,将正常的JavaScript脚本替换成了包含恶意代码的版本。


这次攻击的隐蔽性极强,用户不需要点击任何可疑链接,也不需要下载盗版软件,只要正常打开Apifox官方客户端,恶意代码就会自动静默运行。


恶意代码会窃取用户电脑上的SSH密钥、Git账号密码、云服务器密钥、数据库凭证等核心敏感信息,并将其加密上传到攻击者的服务器。


攻击从3月4日开始,持续了18天,直到3月22日才被发现并修复。



在这期间,超过20万开发者终端中招,上千家企业的核心凭证被窃取。


这起事件是典型的供应链投毒攻击,攻击者通过劫持上游供应链的一个环节,实现了对下游大量用户的攻击。


这起事件给所有企业敲响了警钟:即使是官方提供的软件和服务,也可能存在安全风险。


企业需要建立完善的供应链安全管理体系,对所有第三方依赖进行严格的安全审查。




四、全球高校子域名劫持事件:被忽视的安全死角



今年4月,安全研究人员披露了一起大规模的子域名劫持事件,涉及全球34所知名高校,包括麻省理工学院、哈佛大学、斯坦福大学等。


攻击者利用了高校废弃的CNAME记录,接管了数百个高校子域名,用于传播色情内容和恶意广告。


许多高校在使用云服务时,会创建子域名并将其CNAME记录指向云服务提供商的地址。


当他们停止使用这些云服务时,往往会忘记删除对应的DNS记录。


攻击者发现这些悬空的CNAME记录后,就会重新注册对应的云服务地址,从而合法地接管该子域名的解析流量。


由于这些子域名属于知名高校,具有很高的信任度,搜索引擎会给它们很高的排名。


攻击者利用这一点,在这些子域名上发布大量的色情和赌博内容,通过搜索引擎获取大量流量,从而获得巨额的广告收入。


这不仅损害了高校的声誉,也给访问这些网站的用户带来了安全风险。


这起事件暴露了企业和机构在DNS管理方面存在的普遍问题:缺乏对DNS记录的定期审计和清理,导致大量废弃的DNS记录成为攻击者的目标。




企业与个人的域名安全防范体系



面对日益严峻的域名劫持和DNS污染威胁,企业和个人都应当提高安全意识,建立健全全方位的防范体系,从技术、管理和操作等多个方面入手,共同守护互联网导航系统的安全。




一、企业层面:构建全生命周期的域名安全管理体系



企业作为域名的主要使用者和管理者,应当承担起主体责任,建立一套覆盖域名注册、使用、变更和注销全生命周期的安全管理体系。


首先,要加强域名注册商账户的安全保护。选择信誉良好、安全措施完善的域名注册商,开启账户的多因素认证功能,使用强密码并定期更换。


不要使用企业通用邮箱作为域名管理邮箱,应当使用专门的、独立的邮箱,并对该邮箱进行严格的安全保护。


定期检查域名的注册信息和管理联系人,确保没有被篡改。


其次,要启用DNSSEC(域名系统安全扩展)。DNSSEC通过数字签名技术对DNS记录进行认证,确保递归服务器收到的解析记录是真实、完整的,没有被篡改。


启用DNSSEC可以有效防范DNS缓存投毒和中间人攻击。


目前,大多数主流的域名注册商和DNS服务商都支持DNSSEC功能。


第三,要加强DNS服务器的安全配置。对于自行搭建权威DNS服务器的企业,应当及时更新服务器软件的安全补丁,关闭不必要的服务和端口,限制区域传输权限。


使用防火墙和入侵检测系统对DNS服务器进行保护,监控异常的DNS查询和更新请求。


对于使用第三方DNS服务的企业,应当选择支持DNSSEC、提供DDoS防护和智能解析功能的服务商。


第四,要建立DNS记录的定期审计和清理制度。定期对所有的DNS记录进行全面审计,检查是否存在异常的解析记录。


及时删除废弃的DNS记录,特别是指向云服务的CNAME记录,避免出现悬空DNS记录。


建立DNS记录变更的审批流程,所有DNS记录的修改都需要经过严格的审批和记录。


第五,要加强员工的安全意识培训。教育员工识别钓鱼邮件和钓鱼网站,不要随意点击可疑链接,不要在非官方网站上输入账号密码。


提醒员工定期检查家用路由器的安全设置,修改默认密码,及时更新固件。




二、个人层面:养成良好的网络安全习惯



个人用户虽然无法控制域名的注册和管理,但可以通过采取一些措施来保护自己免受域名劫持和DNS污染的危害。


首先,要使用安全可靠的DNS服务器。不要使用ISP默认提供的DNS服务器,因为它们可能存在安全漏洞或者被ISP用于广告投放。


可以选择一些知名的公共DNS服务器,如谷歌的8.8.8.8、Cloudflare的1.1.1.1或者国内的114.114.114.114。这些公共DNS服务器通常具有更好的安全性和稳定性。


其次,要启用DNS加密技术。使用支持DoT(DNSoverTLS)或DoH(DNSoverHTTPS)的浏览器和操作系统,对DNS查询进行加密传输。


这样可以防止攻击者在传输过程中拦截和篡改DNS查询结果。


目前,Chrome、Firefox等主流浏览器都已经支持DoH功能。


第三,要加强家用路由器的安全防护。修改路由器的默认管理密码,使用强密码。及时更新路由器的固件,修复已知的安全漏洞。


关闭路由器的远程管理功能,防止攻击者从互联网上入侵路由器。定期检查路由器的DNS服务器设置,确保没有被篡改。


第四,要提高警惕,识别钓鱼网站。在访问网站时,仔细检查浏览器地址栏中的域名是否正确,注意是否有拼写错误或者相似的域名。


查看网站的SSL证书,确保证书是由可信的证书颁发机构颁发的,并且证书的域名与访问的域名一致。不要在非HTTPS网站上输入敏感信息。


第五,要安装安全软件。在电脑和手机上安装正规的杀毒软件和安全防护软件,开启实时防护功能。


安全软件可以帮助检测和拦截恶意网站和恶意软件,保护用户的设备和数据安全。




结语



防范域名劫持和DNS污染,是一项系统工程,需要政府、企业和个人的共同努力。


在未来,随着互联网的不断发展和新技术的不断涌现,域名系统的安全挑战也将更加复杂和多样化。我们必须保持清醒的头脑,不断学习和掌握新的安全知识和技能,与时俱进地调整和完善我们的安全防范措施。





只需一套DNS安全方案

守护互联网导航入口





针对域名劫持与DNS污染"隐蔽性强、危害面广"的特点,企业不能仅依赖单一防护,需构建"管理+技术+意识"三位一体的防御体系。


我们结合最新攻击案例与行业实践,为企业提供可落地的DNS安全解决方案,全面守护域名解析安全。




具体我们如何开展?



第一步,开展DNS专项安全培训。


结合路由器DNS篡改、钓鱼域名仿冒、悬空子域名利用等真实场景,通过案例解析、实操演示,让员工掌握识别与防范技巧,筑牢第一道防线。


第二步,全面检测企业DNS安全隐患


模拟DNS劫持与缓存投毒攻击,全面审计企业DNS记录,排查悬空子域名与配置漏洞,出具整改报告并指导企业完善防护措施。




防护落地成效



想象一下,当你完成了上面这些步骤,企业的DNS安全防线将坚不可摧:


本文出处: https://mp.weixin.qq.com/s/43HJaUkc4qBzPVDQ5EMCSw
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋
返回顶部