针对俄罗斯黑客APT28（Sofacy Group、Forest Blizzard、Fancy Bear）渗透路由器的僵尸网络活动，黑客的主要目标是将受害者引导至中间人攻击（AiTM）基础设施，从而窃取其密码、OAuth令牌（Token）及其他凭证信息。英国国家网络安全中心（NCSC）近日公布相关调查结果，指出这些黑客的攻击大致可分为两种类型，目的也各不相同。

NCSC指出，他们掌握APT28自2024年起，便将虚拟专用服务器（VPS）设置为恶意DNS服务器的情况，这些VPS主机通常会接收大量来自路由器的DNS请求。

其中第一种活动里，APT28入侵SOHO路由器，篡改DHCP与DNS配置，植入黑客控制的IP地址，使得相关配置被下游的电脑与移动设备继承。恶意DNS服务器会查询包含特定服务相关的域名，这些服务多为电子邮件系统的登录页面。若攻击者锁定的目标访问这些网站，就会被重定向至黑客的IP地址，实施中间人攻击。

黑客渗透的路由器设备，品牌多为TP-Link，NCSC确认至少有23款型号成为APT28的攻击目标。其中一款型号为WR841N的设备，攻击者疑似利用已知漏洞CVE-2023-50224，无需身份验证即可通过特制的HTTP GET请求获取密码与凭证信息。

一旦成功获取路由器的凭证，APT28便会发送第二个HTTP GET请求，篡改路由器的DHCP与DNS设置。通常黑客会修改主DNS服务器的IP地址，也有部分情况涉及备用DNS服务器的更改，表明部分路由器可能遭到多次攻击。

另一种活动中的VPS主机，同时接收来自TP-Link与MikroTik路由器的DNS请求，但不同的是，这些请求会被转发至攻击者其他的远程服务器。NCSC提及其中占少数的MikroTik路由器，主要位于乌克兰，因此他们推断，这些设备对APT28具有情报价值。