美國聯邦調查局(FBI)指出,俄羅斯駭客正積極利用美國民眾家用與小型辦公室路由器的漏洞發動攻擊。FBI與司法部日前宣布,已完成一項經法院授權的行動,成功中斷俄羅斯總參謀部情報總局(GRU)軍事單位26165在美國境內的受控路由器網路,並同步發布詳細的安全防護指引。
根據FBI的說明,上個星期FBI與司法部共同宣布執行這項法院授權行動,目標是癱瘓GRU所操控的小型辦公室/家用辦公室(SOHO)路由器網路的美國部分。這些路由器先前已被GRU單位入侵,用來對全球具戰略情報價值的目標進行惡意域名系統(DNS)劫持行動,鎖定對象包括美國軍方、政府部門以及關鍵基礎設施領域的個人與單位。
俄羅斯駭客利用中國路由器在全球發動攻擊
GRU駭客利用已知的漏洞,竊取數千台TP-Link路由器的登入憑證,進而更改路由器設定,將流量導向由GRU控制的伺服器。FBI網路部門助理主任布雷特.萊瑟曼(Brett Leatherman)接受福斯財經網(FOX Business)訪問時表示:「FBI已確認,俄羅斯GRU網路行動者已入侵美國及全球各地的易受攻擊路由器,並劫持這些裝置進行間諜活動。」
TP-Link由趙建軍與趙佳興兄弟於1996年在中國深圳創立,最初以生產網路卡起家,現已發展為涵蓋家用路由器、Mesh Wi-Fi系統、交換器、智慧攝影機、Tapo與Kasa智慧家居系列等完整產品線的跨國企業。
TP-Link作為在中國創立的公司,長期面臨「可能成為北京政府監測或網路攻擊工具」的傳聞與安全疑慮。主要原因包括:中國《國家情報法》等法律規定企業須配合政府情報工作;TP-Link 路由器曾被中國國家支持的駭客組織(如 Camaro Dragon、Volt Typhoon 等)利用其已知漏洞植入惡意韌體或作為跳板進行攻擊;以及其供應鏈主要來自中國,引發「後門」與資料外洩風險的擔憂。
萊瑟曼進一步指出,至少有23個州的美國民眾在不知情的情況下,其路由器遭到俄羅斯軍事情報單位利用。由於威脅規模龐大,FBI才決定執行這項法院授權行動,以徹底切斷GRU對美國境內被入侵路由器的存取權限。
建議SOHO裝置使用者應立即採取以下措施
行動過程中,FBI從受影響路由器蒐集相關證據,並將DNS設定重置,避免流量繼續被導向GRU的DNS解析器,同時封鎖俄羅斯原有的入侵管道。美國政府在提交法院的文件中強調,行動前已針對受影響TP-Link路由器的韌體與硬體進行全面測試,結果顯示除了成功阻斷GRU的存取之外,並未影響路由器的正常運作,也未蒐集任何合法使用者的個人內容或資料。
萊瑟曼補充,這次行動之外,FBI、美國國家安全局(NSA)以及來自15個國家的國際夥伴,還共同發布一份公共服務公告,提供詳細的技術資訊與防禦建議。他特別提醒,雖然重新開機路由器能緩解部分威脅,但無法解決這次的GRU特定攻擊。
公告中建議SOHO裝置使用者應立即採取以下措施:更換已達生命終期(end-of-life)或停止支援(end-of-support)的路由器;將韌體升級至官方最新版本;確認路由器設定中所列的DNS解析器是否為真實合法來源;並檢視與強化防火牆設定,避免遠端管理介面暴露在網際網路上。
官網已發布危險型號與排除方式
公告同時呼籲使用者前往TP-Link官方網站的下載中心,查閱受影響裝置的相關文件與正確設定指南,確保路由器已更新至最新韌體,並確認是否屬於生命終期產品清單中的型號,必要時應盡速更換。
萊瑟曼強調:「我們敦促所有小型辦公室/家用辦公室(SOHO)路由器的擁有者,更換已停止支援的裝置、更新至最新韌體版本、更改預設的使用者名稱與密碼、關閉來自網際網路的遠端管理介面,並留意網頁瀏覽器與電子郵件客戶端出現的憑證警告。」
責任編輯:許詠翔
更多風傳媒獨家新聞:
