Az FBI megzavarta az orosz GRU DNS-eltérítő routerhálózatát

Az FBI és az Igazságügyi Minisztérium felszámolja az orosz katonai hírszerzés routerhálózatát

Az amerikai Igazságügyi Minisztérium és az FBI 2026. április 7-én bejelentette, hogy befejeztek egy bírósági engedéllyel végrehajtott műveletet, amelynek célja egy, az orosz Fő Hírszerzési Igazgatóság – közismert nevén a GRU – egyik egysége által működtetett, feltört routerekből álló hálózat semlegesítése volt. A művelet több ezer kis irodai és otthoni (SOHO) routert érintett, amelyeket titokban eltérítettek, és DNS-eltérítéses támadások végrehajtására használtak katonai, kormányzati és kritikus infrastruktúrával foglalkozó magánszemélyek és szervezetek ellen.

A művelet mérete és módszere jól megvilágítja, hogyan használják ki az állami támogatással működő szereplők a figyelmen kívül hagyott fogyasztói hardvereket kifinomult hírszerzési tevékenység folytatására.

Hogyan működött a DNS-eltérítéses támadás?

A GRU egysége a TP-Link routerekben ismert sebezhetőségeket használt ki – ez a márka világszerte elterjedt otthonokban és kisvállalkozásokban. Miután bejutottak az eszközbe, a támadók megváltoztatták annak DNS-beállításait. A DNS, vagyis a Domain Name System az a folyamat, amely egy webhelycímet – például az „example.com"-ot – az összekapcsoláshoz szükséges numerikus IP-címmé alakítja. Lényegében az internet névjegyzetének tekinthető.

A feltört routerek DNS-beállításainak megváltoztatásával a GRU képes volt az eszköz tulajdonosának tudta nélkül a saját ellenőrzése alatt álló szervereken keresztül átirányítani a forgalmat. Ezt a technikát közbeékelődéses (Actor-in-the-Middle) támadásnak nevezik. Amikor az áldozatok megpróbáltak legitim weboldalakat meglátogatni vagy fiókjaikba bejelentkezni, kéréseiket csendesen átirányították. Mivel a forgalom nagy része titkosítatlan volt, a támadók képesek voltak jelszavakat, hitelesítési tokeneket és e-mail tartalmakat egyszerű szöveges formában begyűjteni.

Az áldozatok nem tettek semmi rosszat. A megszokott routerüket használták, és hétköznapi weboldalakat látogattak. A támadás az infrastruktúra szintjén zajlott, a legtöbb felhasználó és sok informatikai csapat látóterén kívül.

Miért jelent állandó célpontot a SOHO router?

A kis irodai és otthoni routerek több okból is kedvelt belépési ponttá váltak a kifinomult fenyegetési szereplők számára. Nagyszámban elterjedtek, általában rosszul karbantartottak, és ritkán felügyeltek. A fogyasztói routerek firmware-frissítései ritkán érkeznek, és sok felhasználó soha nem változtatja meg az alapértelmezett bejelentkezési adatokat, és nem ellenőrzi az eszközbeállításokat az első telepítés után.

Az FBI nem először kényszerül beavatkozni feltört routerhálózatok felszámolása érdekében. Korábbi években hasonló műveletek irányultak botnet-infrastruktúrák ellen, amelyek több gyártó hardverét érintették. A támadási módszer következetessége egy strukturális problémát tükröz: a routerek minden hálózat határán helyezkednek el, mégis jóval kevesebb biztonsági figyelmet kapnak, mint a mögöttük lévő eszközök.

Az Igazságügyi Minisztérium bírósági engedéllyel végrehajtott művelete a feltört routerek távolról történő módosítását foglalta magában, amelynek célja a GRU hozzáférésének megszüntetése és a rosszindulatú konfigurációk eltávolítása volt. Az ilyen típusú beavatkozás ritka, és bírói jóváhagyást igényel, ami jelzi, mennyire komolyan vette az amerikai hatóság a fenyegetést.

Mit jelent ez Önnek?

Ha otthon vagy kis irodában fogyasztói routert használ, ez a művelet közvetlen jelzés arra, hogy hardvere az Ön tudta vagy közreműködése nélkül egy hírszerzési művelet részévé válhat. A támadáshoz nem kellett rosszindulatú hivatkozásra kattintani vagy semmit letölteni. Csupán annyi kellett, hogy a router sebezhető firmware-t futtasson, és az internetes forgalom titkosítatlanul haladjon át rajta.

A hír kapcsán érdemes konkrét lépéseket tenni.

Először is ellenőrizze, hogy routeréhez elérhetők-e firmware-frissítések, és telepítse azokat. A routergyártók rendszeresen foltozják az ismert sebezhetőségeket, de ezek a javítások csak akkor hasznosak, ha telepítik őket. Sok router lehetővé teszi az automatikus frissítések engedélyezését a beállítási felületen keresztül.

Másodszor, változtassa meg az alapértelmezett bejelentkezési adatokat a routerén. Az ehhez hasonló műveletekben érintett feltört eszközök jelentős részéhez a gyárilag megadott, nyilvánosan dokumentált felhasználónevekkel és jelszavakkal fértek hozzá.

Harmadszor, gondolja át, hogyan néz ki az internetes forgalma, miután elhagyja a routert. A titkosítatlan forgalom – legyen az HTTP-kapcsolat, egyes e-mail protokollok vagy bizonyos alkalmazáskommunikációk – olvasható lehet, ha DNS-ét átirányítják. A titkosított DNS-protokollok, például a DNS-over-HTTPS (DoH) vagy a DNS-over-TLS (DoT) használata biztosítja, hogy a DNS-lekérdezések ne legyenek elfoghatók vagy manipulálhatók egy feltört router vagy az általa forgalmat irányító szerver által.

Negyedszer, egy VPN egy további védelmi réteget nyújthat azáltal, hogy titkosítja az Ön eszköze és egy megbízható szerver közötti forgalmat, még mielőtt az elérné a routert vagy az internetszolgáltatót. Ez azt jelenti, hogy még ha a router DNS-ét meg is hamisították, a forgalom tartalma olvashatatlan marad mindenki számára, aki Ön és a célállomás között helyezkedik el.

Ezek az intézkedések sem nem bonyolultak, sem nem drágák, de a GRU-művelet egyértelműen megmutatja, hogy a titkosítatlan forgalom és a frissítetlen hardver valós kockázatot jelent valódi emberek számára – nem csupán elvont veszélyt.

Az FBI beavatkozása megzavarta ezt a konkrét hálózatot, de a fogyasztói routerek mögöttes sebezhetőségei megmaradtak. A tájékozottság megőrzése és az alapvető védelmi lépések megtétele a legpraktikusabb válasz egy olyan támadási felületre, amely valószínűleg nem fog eltűnni.