Rusové pronikli do routerů v Česku a tiše kradou hesla i e-maily. NÚKIB zveřejnil seznam 17 modelů, které musíte odpojit

NÚKIB potvrdil, že ruská skupina APT28 napojená na vojenské zpravodajství GRU zneužívala starší routery TP-Link i na území České republiky, a to nejméně od roku 2024.

Zdroj fotografie: Lukáš Altman (Mobify.cz)

8. dubna 2026 vydal Národní úřad pro kybernetickou a informační bezpečnost varování, které v českém kyberprostoru rezonuje dodnes. Útočníci ze skupiny APT28, známé také jako Fancy Bear, Forest Blizzard nebo Sofacy, pronikali do domácích a malokancelářských routerů TP-Link, přepisovali jejich nastavení a tiše odposlouchávali veškerou komunikaci, která přes ně procházela. Hesla, přihlašovací tokeny, obsah e-mailů. Kompromitace na některých zařízeních mohla běžet měsíce, v krajním případě až dva roky, než ji bezpečnostní složky odhalily a zasáhly. České Vojenské zpravodajství se do mezinárodní operace Masquerade zapojilo v březnu 2026 a na území ČR zabezpečilo část zneužívané infrastruktury. Kolik přesně zařízení bylo zasaženo, úřady nezveřejnily.

Jak útok fungoval: od díry ve firmwaru po krádež hesel

Celý řetězec začínal zranitelností s označením CVE-2023-50224, která postihuje model TL-WR841N. Útočník díky ní získal přístup k uloženým přihlašovacím údajům routeru, bez jakékoli autentizace. Stačilo se na zařízení dostat přes síť.

Jakmile měl administrátorský přístup, přepsal nastavení DHCP a DNS. Všechna zařízení za routerem (notebooky, telefony, tablety) pak automaticky převzala podvržené DNS resolvery. Pro vybrané domény, zejména ty spojené s Outlookem (autodiscover-s.outlook.com, outlook.office365.com a další), vracel podvržený DNS server falešné odpovědi. Uživatel se domníval, že se přihlašuje do svého e-mailu. Ve skutečnosti komunikoval přes útočníkův server, který provedl takzvaný adversary-in-the-middle útok i proti šifrovanému provozu. Výsledek: hesla, autentizační tokeny, obsah e-mailů a webové komunikace putovaly přímo ke GRU.

Britské NCSC upozorňuje, že získaný materiál mohl být následně použit k přihlášení z úplně jiné infrastruktury, která v žádném seznamu nefiguruje. Ukradený domácí účet tak nemusel být cíl sám o sobě, mohl být mezikrok k pracovním, vládním nebo dodavatelským systémům.

Které modely jsou ohrožené, a proč to není přesně 17

Titulek mluví o 17 modelech. Realita je složitější. NÚKIB ve své aktualitě seznam modelů přímo nevypisuje, odkazuje na partnerské zdroje. Britské NCSC jich uvádí 23, TP-Link v českém bezpečnostním advisory rozepisuje dotčené modely po jednotlivých hardwarových revizích a stavu oprav. Číslo 17 je tedy zjednodušení, nikoli doslovná citace NÚKIB.

Pro orientaci, modely, které se v oficiálních zdrojích opakují nejčastěji:

• TL-WR841N / TL-WR841ND (výchozí bod celé zranitelnosti)
• TL-WR840N, TL-WR845N, TL-WR842N/ND
• TL-WR740N, TL-WR741ND, TL-WR749N
• TL-WR941ND, TL-WR945N
• TL-WR1043ND, TL-WR1045ND
• TL-WDR3500, TL-WDR3600, TL-WDR4300
• Archer C5, Archer C7
• MR6400, TL-MR3420
• TL-WA801ND, TL-WA901ND (přístupové body)

NCSC výslovně upozorňuje, že seznam nemusí být úplný. TP-Link doplňuje, že mohou být identifikovány i další starší modely, hardwarové revize nebo regionální varianty. Všechny dotčené produkty jsou podle výrobce EOL, na konci životního cyklu, mimo standardní údržbu. Žádný z nich nepodporuje cloudové ani automatické aktualizace firmwaru. Každá dostupná oprava vyžaduje ruční instalaci.

Co udělat hned: praktický návod krok za krokem

Formulace „musíte odpojit“ z titulku není právní příkaz ani formální nařízení NÚKIB. Úřad doporučuje u zařízení na konci životnosti zvážit výměnu, aktualizovat firmware, změnit výchozí hesla a vypnout vzdálenou správu. TP-Link radí migraci na podporovaný produkt. Dočasné odpojení od internetu je ale u nezáplatovaného EOL kusu nejbezpečnější mezikrok, a podle nás zcela obhajitelný.

Praktické pořadí kroků:

• Zjistěte přesný model a hardwarovou revizi. Otočte router, na štítku hledejte označení modelu a řetězec „VER X.X“. Alternativně se přihlaste do webové správy (typicky přes tplinkwifi.net) a najděte sekci s informacemi o systému.
• Porovnejte s advisory TP-Link. Zjistíte, zda pro vaši konkrétní revizi existuje oprava.
• Pokud oprava neexistuje nebo je zařízení EOL bez podpory, prioritou je výměna za aktuálně podporovaný router.
• Pokud oprava existuje, stáhněte a ručně nainstalujte poslední firmware.
• Okamžitě změňte administrátorské jméno a heslo. Výchozí přihlašovací údaje jsou první věc, kterou útočník zkouší.
• Vypněte vzdálenou správu. Pokud ji nepotřebujete, nemá být zapnutá.
• Zkontrolujte DNS nastavení routeru. Pokud tam vidíte neznámé DNS resolvery, máte problém.
• Sledujte varování prohlížeče na neplatné certifikáty. Právě to může být signál, že někdo provádí AitM útok.

Nejde jen o TP-Link, jde o staré routery obecně

Bylo by snadné označit TP-Link za „rizikovou značku“. Jenže APT28 nezneužívá jednoho výrobce. NÚKIB už v únoru 2024 varoval před kompromitací routerů Ubiquiti EdgeOS stejnou skupinou. Britské NCSC v téže kampani zmiňuje i pravděpodobně zasažené routery MikroTik. Vzorec je jasný: ruské vojenské zpravodajství systematicky hledá staré, nepodporované síťové prvky na okraji internetu, bez ohledu na logo na krabici.

Domácí router nepotřebuje být „hlavním cílem“, aby se stal tichým nástrojem cizí špionážní infrastruktury. APT28 postupovala oportunisticky: nejdřív široká kompromitace tisíců zařízení po celém světě, pak automatizované filtrování DNS požadavků a výběr účtů se zpravodajskou hodnotou, vojenských, vládních, z kritické infrastruktury. Váš router mohl sloužit jako odposlechová stanice, aniž byste o tom měli tušení.

Starý router bez aktualizací v rohu obývacího pokoje není neškodný kus plastu. Je to otevřené dveře, a někdo jimi už prošel.