Rusové útočí na domácí Wi-Fi routery a kradou citlivá data. Americká špionážní agentura radí: „Restartujte každou neděli“
Hackeři ruské vojenské rozvědky GRU promluvili do tisíců domácích směrovačů po celém světě, včetně Česka, a odposlouchávali hesla, e-maily i další informace.
Obsah článku
Za označením „Rusové“ nestojí jen anonymní skupina nadšenců, ale konkrétní jednotka ruského vojenského zpravodajství: 85. hlavní centrum speciálních služeb GRU, známé pod kódovým označením Unit 26165. Bezpečnostní komunita ji sleduje pod přezdívkami APT28, Fancy Bear nebo Forest Blizzard. Právě tuto jednotku americké ministerstvo spravedlnosti, FBI a britské Národní centrum kybernetické bezpečnosti (NCSC) označily jako původce rozsáhlé kampaně nazvané operace Masquerade. Americká Národní bezpečnostní agentura (NSA), tedy ona „špionážní agentura“, ve svém průvodci zabezpečením domácí sítě doporučuje mimo jiné minimálně jednou týdně restartovat router. Konkrétní den v dokumentu neuvádí, ale praktická rada je jednoduchá: zvolte si pevný den, třeba neděli, a držte se ho. Restart sám o sobě ovšem nestačí. Je to jen první krok.
Z routeru se stane odposlechové zařízení
APT28 využívala veřejně známou zranitelnost CVE-2023-50224 v routerech TP-Link. Po průniku do zařízení útočníci změnili nastavení DHCP a DNS, tedy služeb, které rozhodují o tom, kam směřuje internetový provoz všech připojených zařízení. Notebooky, telefony a tablety v domácnosti pak místo legitimních DNS serverů používaly servery pod kontrolou GRU.
Výsledek? Klasický útok typu „člověk uprostřed“. Když se uživatel přihlašoval k e-mailu nebo firemnímu systému, podvržený DNS server ho mohl přesměrovat na falešnou stránku. Útočníci tak mohli získávat hesla, autentizační tokeny, obsah e-mailové komunikace i další webový provoz, který měl zůstat chráněný. Podle FBI šlo o globální kampaň, jejíž oběti se nacházely v USA, Evropě i dalších částech světa.
A nebyl to první případ. Už v únoru 2024 americké a spojenecké agentury varovaly před toutéž skupinou, která kompromitovala routery Ubiquiti EdgeRouter. Tehdy šlo o trojanizovaný OpenSSH, reverzní proxy a SSH tunely. Vzorec je stejný: starý, neudržovaný router na okraji sítě se stane vstupní branou.
Česko bohužel není mimo hru
Kdo by si myslel, že jde o čistě americký problém, mýlí se. NÚKIB potvrdil, že kompromitovaná zařízení zasáhla i Českou republiku. Ještě důrazněji vystoupilo Vojenské zpravodajství, které oznámilo aktivní zásah v kybernetickém prostoru v rámci operace Masquerade a potvrdilo, že napadené routery byly zneužívány proti českým vojenským a vládním cílům.
Důležitý detail: běžný domácí uživatel nemusí být hlavním terčem špionáže. Jeho nezabezpečený router se ale může stát článkem řetězce útoku proti kritické infrastruktuře, energetice nebo státní správě. GRU nejprve kompromituje širokou základnu zařízení a teprve z ní vybírá cíle zpravodajského zájmu. Váš router může sloužit jako prostředník pro útok na někoho úplně jiného a vy se o tom nemusíte dozvědět.
Restart je jen začátek, není to 100% řešení
NSA ve svém průvodci z února 2023 vysvětluje logiku pravidelného restartu: část škodlivého kódu není perzistentní a existuje pouze v operační paměti routeru. Restart ji smaže. Proto doporučuje minimálně jednou týdně vypnout a znovu zapnout router, ale také další zařízení, jako jsou telefony a počítače.
Jenže pokud útočník změnil konfiguraci DNS nebo pokud router stále obsahuje neopravenou zranitelnost, restart problém dlouhodobě neřeší. Po novém spuštění se zařízení znovu připojí ke kompromitovanému nastavení, případně se útočník vrátí přes stejnou bezpečnostní chybu.
Co skutečně pomáhá:
- Aktualizovat firmware – zkontrolovat na webu výrobce, zda pro váš přesný model a hardwarovou revizi existuje záplata.
- Změnit výchozí heslo – administrátorské údaje typu admin/admin jsou první věc, kterou útočník zkouší.
- Vypnout vzdálenou správu – pokud nepotřebujete přistupovat k routeru z internetu, tuto funkci deaktivujte.
- Ověřit DNS nastavení – pokud v konfiguraci routeru vidíte DNS servery, které jste nenastavili, je to varovný signál.
- Zvážit výměnu – pokud je router na konci životnosti (EOL) a výrobce pro něj již nevydává aktualizace, žádná opatření ho dlouhodobě neochrání.
Jak poznat, že je váš router ohrožený
TP-Link zveřejnil seznam dotčených modelů s rozlišením, které už mají záplatu a které ne. Část zasažených zařízení jsou starší modely s ukončenou podporou, aktualizace pro ně neexistuje a nikdy nepřijde. U těchto routerů navíc nefungují automatické aktualizace přes cloud; případnou záplatu je nutné stáhnout a nahrát ručně.
Praktický postup pro každého:
- Otočte router a opište přesný model a hardwarovou revizi ze štítku.
- Najděte stránku podpory výrobce pro tuto konkrétní revizi.
- Ověřte, zda model není na seznamu EOL (konec životnosti / konec podpory).
- Zkontrolujte, zda existuje aktuální firmware, a pokud ano, nainstalujte ho.
- Zpozorněte při zvláštním chování: výpadky připojení, přehřívání, varování prohlížeče o neplatném certifikátu nebo změny v nastavení, které jste neprovedli.
Nejde o jednu značku, jde o vzorec
Bylo by snadné ukázat prstem na TP-Link a říct: „Kupte si jinou značku.“ Jenže APT28 v minulosti kompromitovala i routery Ubiquiti a Cisco. Společný jmenovatel nejsou konkrétní loga na krabici, ale starý firmware, výchozí hesla a zapomenutá zařízení, která roky tiše běží ve skříni na chodbě. Každý takový router je pro státního protivníka potenciálně otevřená cesta.
Jednou týdně restartovat router je rozumné, zabere to přibližně třicet sekund a může odstranit neperzistentní škodlivý kód. Ale bez aktualizovaného firmwaru, silného hesla a vypnuté vzdálené správy je to jen zámek na dveřích, které nemají zárubeň. A pokud váš router už dávno nedostává aktualizace, nejlepší investice do bezpečnosti je nový kus za pár stovek.