FBI narušilo síť routerů ruské GRU využívanou k únosům DNS

FBI a ministerstvo spravedlnosti rozebraly síť routerů ruské vojenské rozvědky

Americké ministerstvo spravedlnosti a FBI oznámily 7. dubna 2026, že dokončily soudně schválenou operaci zaměřenou na narušení sítě kompromitovaných routerů, které využívala jednotka ruské Hlavní zpravodajské správy, známější jako GRU. Operace se zaměřila na tisíce routerů určených pro malé kanceláře a domácnosti (SOHO), jež byly tiše ovládnuty za účelem provádění útoků typu DNS hijacking proti jednotlivcům a organizacím z vojenského, vládního a kritického infrastrukturního sektoru.

Rozsah a metoda operace jasně ukazují, jak státem sponzorovaní aktéři zneužívají přehlíženého spotřebitelského hardwaru k provádění sofistikovaných zpravodajských kampaní.

Jak útok prostřednictvím únosu DNS fungoval

Jednotka GRU zneužila známé zranitelnosti v routerech TP-Link, značky běžně rozšířené v domácnostech a malých podnicích po celém světě. Po proniknutí do zařízení útočníci manipulovali s jeho nastavením DNS. DNS neboli systém doménových jmen je proces, který převádí webovou adresu, například „example.com", na číselnou IP adresu, kterou počítače používají k připojení. Funguje v podstatě jako telefonní seznam internetu.

Změnou nastavení DNS v kompromitovaných routerech byla GRU schopna přesměrovávat provoz přes servery pod svou kontrolou, aniž by o tom majitel zařízení kdy věděl. Tato technika se nazývá útok Actor-in-the-Middle. Když se oběti pokoušely navštívit legitimní webové stránky nebo přihlásit se ke svým účtům, jejich požadavky byly tiše přesměrovány. Protože velká část tohoto provozu nebyla šifrována, útočníci mohli sbírat hesla, autentizační tokeny a obsah e-mailů v nešifrované podobě.

Oběti nemusely nutně dělat nic špatného. Používaly své běžné routery a navštěvovaly běžné webové stránky. Útok probíhal na úrovni infrastruktury, mimo dosah viditelnosti většiny uživatelů a dokonce i mnoha IT týmů.

Proč jsou routery SOHO stále oblíbeným cílem

Routery pro malé kanceláře a domácnosti se staly oblíbeným vstupním bodem pro sofistikované hrozby z několika důvodů. Je jich mnoho, jsou často špatně udržovány a zřídkakdy monitorovány. Aktualizace firmwaru spotřebitelských routerů jsou nepravidelné a mnoho uživatelů nikdy nezmění výchozí přihlašovací údaje ani nepřezkumá nastavení zařízení po prvním spuštění.

Není to poprvé, co musela FBI zasáhnout a vyčistit sítě kompromitovaných routerů. Podobné operace v předchozích letech cílily na infrastrukturu botnetů zahrnující hardware od více výrobců. Opakující se využití tohoto vektoru útoku odráží strukturální problém: routery stojí na hranici každé sítě, ale věnuje se jim mnohem méně bezpečnostní pozornosti než zařízením za nimi.

Soudně schválená operace ministerstva spravedlnosti spočívala ve vzdálené úpravě kompromitovaných routerů s cílem přerušit přístup GRU a odstranit škodlivé konfigurace. Tento typ zásahu je výjimečný a vyžaduje souhlas soudu, což naznačuje, jak vážně americké úřady hrozbu vnímaly.

Co to znamená pro vás

Pokud doma nebo v malé kanceláři používáte spotřebitelský router, tato operace je jasným signálem, že váš hardware se může stát součástí zpravodajské operace bez vašeho vědomí či přičinění. Útok nevyžadoval, aby oběti klikly na škodlivý odkaz nebo si cokoli stahovaly. Vyžadoval pouze to, aby jejich router provozoval zranitelný firmware a aby jejich internetový provoz procházel přes něj nešifrovaný.

V reakci na tuto zprávu stojí za to přijmout konkrétní opatření.

Za prvé, zkontrolujte, zda jsou pro váš router dostupné aktualizace firmwaru, a nainstalujte je. Výrobci routerů pravidelně opravují známé zranitelnosti, ale tyto záplaty jsou užitečné pouze tehdy, pokud jsou nainstalovány. Mnoho routerů umožňuje zapnout automatické aktualizace prostřednictvím svého nastavení.

Za druhé, změňte výchozí přihlašovací údaje na svém routeru. Velká část kompromitovaných zařízení v operacích, jako je tato, byla přístupná pomocí výchozích továrních uživatelských jmen a hesel, která jsou veřejně zdokumentována.

Za třetí, zamyslete se nad tím, jak váš internetový provoz vypadá při opuštění routeru. Nešifrovaný provoz – ať už jde o připojení HTTP, některé e-mailové protokoly nebo určitou komunikaci aplikací – lze číst v případě, že je vaše DNS přesměrována. Používání šifrovaných DNS protokolů, jako je DNS-over-HTTPS (DoH) nebo DNS-over-TLS (DoT), zajišťuje, že vaše DNS dotazy samotné nemohou být zachyceny ani manipulovány kompromitovaným routerem nebo serverem, přes který provoz prochází.

Za čtvrté, VPN může poskytnout další vrstvu ochrany tím, že šifruje provoz mezi vaším zařízením a důvěryhodným serverem ještě předtím, než vůbec dosáhne vašeho routeru nebo poskytovatele internetových služeb. To znamená, že i v případě, že bylo DNS vašeho routeru upraveno, obsah vašeho provozu zůstane pro kohokoli stojícího mezi vámi a cílem nečitelný.

Žádné z těchto opatření není složité ani nákladné, ale operace GRU jasně ukazuje, že nešifrovaný provoz a nezáplatovaný hardware představují skutečné ohrožení skutečných lidí – nikoli pouze abstraktní riziko.

Zásah FBI narušil tuto konkrétní síť, ale základní zranitelnosti spotřebitelského hardwaru routerů přetrvávají. Být informován a přijímat základní ochranná opatření je nejpraktičtější odpovědí na útočnou plochu, která jen tak nezmizí.