Rusové se dostávají do českých routerů přes funkci, která je u většiny zapnutá od výroby. Vypněte ji a ochraňte se

NÚKIB 8. dubna varoval před kampaněmi ruské skupiny APT28, která přes internet pronikla do routerů TP-Link v českých domácnostech a ukradla hesla i e-maily.

Zdroj fotografie: Pexels

Útok neprobíhal přes žádný sofistikovaný virus ani přílohu v e-mailu. Stačil starý router s administrací dostupnou z internetu a továrním heslem, které nikdo nezměnil. Právě tato kombinace – webové rozhraní routeru přístupné zvenčí – otevřela dveře útočníkům napojeným na ruskou vojenskou rozvědku GRU. Funkce vzdálené správy existuje proto, aby se majitel routeru mohl k nastavení připojit odkudkoli. Výrobci ji popisují jako nástroj pro řešení problémů na dálku nebo konfiguraci mimo domov. Jenže u starších nebo špatně nastavených zařízení bývá tato funkce přístupná komukoli, kdo zná IP adresu routeru. A právě to útočníci zneužili. Podle našeho ověření má řada routerů vzdálenou správu ve výchozím stavu vypnutou, ale uživatelé ji často zapínají, například na doporučení technika, při nastavování VPN nebo podle návodů z internetu, a poté ji zapomenou vypnout. U starších modelů s továrním heslem „admin/admin“ je situace stejně nebezpečná, jako kdyby byla správa aktivní od výroby.

Jak útok fungoval krok za krokem

Celý řetězec začínal zranitelností označenou jako CVE-2023-50224, která se týká konkrétně modelu TP-Link TL-WR841N. Útočník nepotřeboval žádné přihlašovací údaje. Na webovou službu routeru běžící na portu 80 poslal speciálně připravený HTTP požadavek a získal uložené přihlašovací údaje. Následně změnil nastavení DHCP a DNS serverů.

Od té chvíle router směroval všechna připojená zařízení na podvržené DNS servery pod kontrolou APT28. Ty pro vybrané služby, například „autodiscover-s.outlook.com“, „imap-mail.outlook.com“ nebo „outlook.office365.com“, vracely falešné odpovědi. Uživatel se domníval, že se přihlašuje do Outlooku, ve skutečnosti ale předával hesla, OAuth tokeny i obsah e-mailů útočníkům. Prohlížeč mohl zobrazit varování o neplatném certifikátu, ale většina uživatelů je ignoruje.

NÚKIB potvrdil oběti v České republice, přesný počet zasažených domácností ale nezveřejnil. Vojenské zpravodajství v rámci mezinárodní operace Masquerade provedlo aktivní zásah a „zabezpečení potenciálně zneužitelných zařízení na území České republiky“. Hovořilo o tisících zranitelných zařízení po celém světě.

Proč je problém větší, než se zdá

Model TL-WR841N patří k nejprodávanějším levným routerům v Česku. Roky se prodával v řetězcích s elektronikou za pár stokorun, operátoři ho často poskytovali k internetu. Jenže právě tyto kusy dnes nemají podporu – TP-Link je označuje jako EOL (end of life) a většina z nich nedostává bezpečnostní aktualizace. Starší modely navíc často nepodporují automatické aktualizace. I tam, kde záplata existuje, ji musí uživatel stáhnout a nahrát ručně přes administraci.

Britské NCSC zveřejnilo širší seznam cílených modelů TP-Link s tím, že nejde o vyčerpávající výčet. V jiné části infrastruktury se objevily i routery MikroTik. Nejde tedy o jednu konkrétní krabičku, ale o opakující se vzorec: starý router, tovární heslo, správa dostupná z internetu.

Důležitý je i kontext českých operátorů. Kdo má od poskytovatele zařízení s privátní WAN adresou, je proti tomuto typu útoku obvykle méně ohrožen, protože administrace není přímo dostupná z internetu. Naopak T-Mobile u pevného internetu často přiděluje veřejnou IPv4, Vodafone uvádí, že veřejná IP znamená přístup zvenčí, a O2 upozorňuje, že vzdálený přístup vyžaduje veřejnou IP a další nastavení. Rozhodující tedy není značka operátora, ale to, zda je router skutečně dostupný z internetu.

Tři kroky, které udělejte hned

1. Vypněte vzdálenou správu. U novějších TP-Linků: Advanced → System Tools → Administration → Remote Management → Disable. U starého WR841N: Security → Remote Management; pokud je hodnota IP nastavena na 0.0.0.0, je funkce vypnutá. Jakákoli jiná hodnota znamená, že je router dostupný zvenčí. U modemů od operátorů hledejte sekce „Vzdálená správa“ nebo „TR-069“.
2. Změňte administrátorské heslo. Tovární „admin/admin“ je první kombinace, kterou útočníci zkouší. Použijte silné a unikátní heslo, které nikde jinde nepoužíváte.
3. Aktualizujte firmware nebo router vyměňte. Pokud výrobce stále poskytuje aktualizace, stáhněte je a nainstalujte ručně. Pokud je zařízení EOL a opravy neexistují, jedinou skutečnou ochranou je výměna za podporovaný model.

Jak za pět minut ověříte, jestli jste v ohrožení

Postup je jednoduchý. V administraci routeru zjistěte WAN IP adresu – u TP-Linků ji najdete v sekci Basic → Network Maps → Internet. Poté na telefonu vypněte Wi-Fi a použijte mobilní data. Do prohlížeče zadejte http://vaše-WAN-IP:80 (nebo jiný port, pokud jste ho změnili). Pokud se zobrazí přihlašovací stránka routeru, je vaše administrace dostupná z internetu. V takovém případě okamžitě vypněte vzdálenou správu.

Kontrolní seznam pro ověření, zda router nebyl kompromitován:

• V nastavení DHCP/DNS nejsou neznámé IP adresy serverů
• Administrátorské heslo nebylo změněno bez vašeho vědomí
• Systémové logy neobsahují podezřelé vzdálené přístupy
• Prohlížeč ani e-mailový klient nehlásí problémy s certifikáty

Americká FTC doporučuje kromě vypnutí vzdálené správy také deaktivaci WPS a UPnP, protože každá z těchto funkcí může snižovat bezpečnost sítě.

Starý router za pár stokorun, který tiše bliká v rohu obýváku, může být nejslabším článkem celé domácí sítě. A právě na takové články APT28 spoléhá.