美國破壞APT28架設的AiTM網釣基礎設施，駭客綁架TP-Link路由器從事DNS挾持活動

美國司法部指出，APT28至少從2024年開始，利用已知漏洞竊得全球數千臺TP-Link路由器憑證，然後竄改這些路由器的DNS設定，使其導向GRU控制的惡意DNS解析器。

值得留意的是，駭客後來導入自動過濾機制，攔截特定的DNS請求。他們針對特定的目標，透過解析器提供特定網域名稱的假DNS紀錄，藉此模仿合法的IT系統服務，其中一種是Microsoft Outlook Web Access。而這種利用路由器組成的網路環境，APT28主要將其用於對手中間人攻擊（AiTM），從而解開使用者加密的網路流量，從受害路由器所處的網路環境裡，挖掘裝置上的密碼、身分驗證權杖（Token）、電子郵件，以及其他敏感資料。

根據賓州地方法院的文件，FBI開發一系列指令，發送給美國遭到入侵的路由器，除了收集駭客行為的證據，也重置路由器的DNS組態設定，並防堵駭客初期入侵的管道。不過即便如此，美國司法部還是呼籲所有用戶最好採取行動，汰換已終止支援的機種、套用最新版韌體、檢查DNS解析器的設定，以及設置防火牆規則，來降低路由器遭到滲透的風險。