a VPN tunnel was shut down and recreated with a different set of routers when an attack was detected on the VPN tunnel.
Uma VPN é iniciada conectando-se a um servidor VPN e obtendo informações sobre o túnel. Essas informações podem mudar na próxima vez que o software de configuração VPN entrar em contato com o servidor. Alguns softwares de VPN podem especificar os servidores de backup a serem contatados se os primeiros não estiverem disponíveis. Se alguém no servidor terminar de alterar o DNS para apontar para um servidor diferente durante um ataque, o software de configuração VPN ainda poderá configurar um túnel usando um servidor VPN diferente nessa VPN.
How can the VPN connection actively change the network route? Isn't an Internet connection established automatically through routing tables and is therefore outside of the realm of things the VPN can actively influence?
Depende do tipo de VPN. Uma VPN que funcione instalando adaptadores de rede virtual no lado do cliente, na verdade, exigirá que as alterações nas tabelas de roteamento funcionem. Essas alterações podem ser "automáticas", pois qualquer interface que esteja diretamente conectada lhe dará rotas para a sub-rede por trás dela - e com uma VPN, você estará "conectado" a uma sub-rede virtual. Ou, alguns softwares de configuração VPN adicionam rotas - geralmente feitas para fazer todo o tráfego de saída da Internet passar pela VPN.
Coisas que são realmente "encaminhamento de porta" e não VPNs por si só (como túneis SSH) obviamente não fazem nada com a tabela de roteamento.