美国网络安全和基础设施安全局(CISA)本周一联合澳大利亚、丹麦、新西兰、英国等多国政府发布公告,点名俄罗斯联邦安全局(FSB)下属被称为"Center 16"的部门,正在全球范围扫描配置不当的路由器和网络设备。这拨人马外界追踪多年,代号包括Berserk Bear、Energetic Bear、Dragonfly、Ghost Blizzard和Static Tundra,惯用手法是找那些SNMP协议还开着默认口令的家用和小微企业路由器,拿下控制权后当跳板,去攻击通信、国防、能源、金融和政府这几个敏感行业。

攻击链条并不复杂,但足够管用

黑客扫描互联网上开着SNMP代理的设备,只要密码是默认的或者常见弱口令,就能靠伪造源地址的恶意流量激活设备上的SNMP功能执行代码。拿下一台路由器之后,它就成了"出口节点"——攻击者的探测和攻击流量从这台看起来人畜无害、IP信誉良好的家庭设备发出,防火墙和安全系统更难察觉。这也是住宅代理近年在国家级攻击和黑产团伙里都吃香的原因:数百万台被劫持的路由器、摄像头甚至流媒体盒子,本质上是一整片可以隐身的"合法"网络。

CISA给出的应对办法很直白:SNMP v1/v2版本没有加密口令,能关就关,非要用就只用v3;同时关掉思科Smart Install、换掉默认密码、按时更新固件。这些建议年年都在说,问题是路由器这类设备往往买了就不再有人管,厂商的补丁推送也常常够不到消费级市场。


这不是孤立事件,是俄方第二条战线

真正值得说清楚的一点是:这次牵头的FSB Center 16,和过去三年另外几份针对路由器的美国政府公告里点名的黑客,其实不是同一拨人。2023年4月,CISA联合FBI、NSA披露的是APT28(隶属俄军事情报总局GRU,即"Fancy Bear")利用思科IOS的SNMP远程代码执行漏洞对路由器搞侦察;2024年2月,同样是APT28,这次盯上的是Ubiquiti的EdgeRouter,靠它窃取NTLMv2哈希、代理流量、托管钓鱼页面;2026年4月,微软的报告里这条线又升级了——被微软称为Forest Blizzard的同一拨人,已经从单纯"借道转发"进化到主动DNS劫持和中间人攻击,直接篡改和窃听流量,而不只是隐身路过。

FSB和GRU是俄罗斯两套不同的情报系统,各自养着一条独立的路由器攻击线,时间线对齐着看会更清楚:

俄罗斯GRU一线:路由器战术三年升级 2023年4月 思科SNMP漏洞 侦察 · 部署恶意软件 2024年2月 EdgeRouter 窃取凭据 · 流量代理 2026年4月 Forest Blizzard DNS劫持 · 中间人攻击 同一批人(APT28/Fancy Bear),三年里从"借道"升级到"主动篡改" 本周一公告的FSB Center 16,是另一条独立战线
两套俄罗斯情报系统,各自在同一层脆弱设备上打了三年仗

和中国的战术差异被公告刻意回避了

公告原文明确提到,这次没有涉及中国近年在路由器上的类似操作——这句话本身就是个值得留意的细节。中国相关的Volt Typhoon组织此前被披露利用大量过期的思科、NETGEAR路由器组成"KV-botnet",恶意代码常驻内存、不做持久化,专门用来在关键基础设施里预先埋设隐蔽通道,为将来的行动做铺垫;相比之下,俄罗斯这两条线(无论FSB还是GRU)更偏向即时的情报采集、凭据窃取和流量操纵,目的更像是"现用现拿",而不是长期潜伏等待时机。同一类脆弱设备,两个国家行为体的用法并不一样。

  • 风险.路由器一旦被攻陷,大多数家庭和小企业用户毫无感知——设备照常联网,异常流量全部发生在看不见的后台,只有ISP侧或安全厂商的流量分析才可能发现端倪。

该做什么,比该信什么更实际

对普通家庭用户,最直接的动作是登录路由器管理界面,确认SNMP是否开着、密码是不是出厂默认值,能关的服务尽量关掉。对企业IT团队,这份公告的意义在于提醒:边缘网络设备通常不在终端安全软件的监控范围内,却越来越多地被当成攻击链的第一环,光盯着员工电脑和服务器已经不够。接下来值得盯的,是厂商会不会针对老旧型号推送强制更新,以及CISA会不会像2024年那次一样,公开具体的恶意域名和文件哈希,让普通用户和安全团队能直接拿去排查。