FBI en DOJ ontmantelen routernetwerk van Russische militaire inlichtingendienst
Het Amerikaanse ministerie van Justitie en de FBI maakten op 7 april 2026 bekend dat zij een door de rechtbank goedgekeurde operatie hadden afgerond om een netwerk van gecompromitteerde routers te verstoren dat werd gebruikt door een eenheid binnen Ruslands Hoofddirectoraat Inlichtingen, beter bekend als de GRU. De operatie was gericht op duizenden small office en home office (SOHO) routers die stilletjes waren gekaapt om DNS-hijacking-aanvallen uit te voeren op personen en organisaties in de militaire, gouvernementele en kritieke infrastructuursectoren.
De schaal en methode van de operatie bieden een helder inzicht in hoe door de staat gesponsorde actoren over het hoofd geziene consumentenhardware misbruiken om geavanceerde inlichtingenverzamelingscampagnes uit te voeren.
Hoe de DNS-hijacking-aanval werkte
De GRU-eenheid maakte misbruik van bekende kwetsbaarheden in TP-Link-routers, een merk dat wereldwijd veel voorkomt in huishoudens en kleine bedrijven. Eenmaal binnenin een apparaat manipuleerden de aanvallers de DNS-instellingen. DNS, ofwel het Domain Name System, is het proces dat een websiteadres zoals "example.com" vertaalt naar het numerieke IP-adres dat computers gebruiken om verbinding te maken. Het functioneert in wezen als het adresboek van het internet.
Door de DNS-instellingen op gecompromitteerde routers te wijzigen, was de GRU in staat om verkeer om te leiden via servers die zij beheersten, zonder dat de eigenaar van het apparaat dit ooit wist. Deze techniek staat bekend als een Actor-in-the-Middle-aanval. Wanneer slachtoffers probeerden legitieme websites te bezoeken of in te loggen op accounts, werden hun verzoeken stilletjes omgeleid. Omdat een groot deel van dit verkeer onversleuteld was, konden de aanvallers wachtwoorden, authenticatietokens en e-mailinhoud in leesbare tekst onderscheppen.
De slachtoffers deden niet per se iets verkeerd. Ze gebruikten hun gewone routers en bezochten gewone websites. De aanval vond plaats op infrastructuurniveau, buiten het zicht van de meeste gebruikers en zelfs veel IT-teams.
Waarom SOHO-routers een hardnekkig doelwit zijn
Small office en home office routers zijn om verschillende redenen een favoriete toegangspoort geworden voor geavanceerde dreigingsactoren. Ze zijn talrijk, vaak slecht onderhouden en zelden gemonitord. Firmware-updates voor consumentenrouters zijn zeldzaam en veel gebruikers wijzigen na de initiële installatie nooit de standaardgegevens of controleren de apparaatinstellingen.
Dit is niet de eerste keer dat de FBI heeft moeten ingrijpen om gecompromitteerde routernetwerken op te ruimen. Soortgelijke operaties hebben in voorgaande jaren botnet-infrastructuur aangepakt waarbij hardware van meerdere fabrikanten betrokken was. De consistentie van deze aanvalsvector weerspiegelt een structureel probleem: routers bevinden zich op de grens van elk netwerk, maar krijgen veel minder beveiligingsaandacht dan de apparaten erachter.
De door de rechtbank goedgekeurde operatie van het ministerie van Justitie hield in dat de gecompromitteerde routers op afstand werden aangepast om de toegang van de GRU te verbreken en kwaadaardige configuraties te verwijderen. Dit type interventie is zeldzaam en vereist goedkeuring van de rechter, wat aangeeft hoe serieus de Amerikaanse autoriteiten de dreiging namen.
Wat dit voor u betekent
Als u thuis of op een klein kantoor een consumentenrouter gebruikt, is deze operatie een duidelijk signaal dat uw hardware onderdeel kan worden van een inlichtingenoperatie zonder uw medeweten of deelname. De aanval vereiste niet dat slachtoffers op een kwaadaardige link klikten of iets downloadden. Het was voldoende dat hun router kwetsbare firmware gebruikte en dat hun internetverkeer er onversleuteld doorheen stroomde.
Naar aanleiding van dit nieuws zijn er concrete stappen die de moeite waard zijn om te nemen.
Controleer ten eerste of er firmware-updates beschikbaar zijn voor uw router en installeer deze. Routerfabrikanten patchen regelmatig bekende kwetsbaarheden, maar die patches zijn alleen nuttig als ze worden geïnstalleerd. Veel routers bieden de mogelijkheid om automatische updates in te schakelen via de instellingeninterface.
Wijzig ten tweede de standaard inloggegevens van uw router. Een groot aantal gecompromitteerde apparaten bij dit soort operaties wordt benaderd via standaard gebruikersnamen en wachtwoorden die publiekelijk gedocumenteerd zijn.
Overweeg ten derde hoe uw internetverkeer eruitziet wanneer het uw router verlaat. Onversleuteld verkeer — of het nu HTTP-verbindingen, bepaalde e-mailprotocollen of bepaalde app-communicaties betreft — kan worden afgelezen als uw DNS wordt omgeleid. Het gebruik van versleutelde DNS-protocollen zoals DNS-over-HTTPS (DoH) of DNS-over-TLS (DoT) zorgt ervoor dat uw DNS-verzoeken zelf niet kunnen worden onderschept of gemanipuleerd door een gecompromitteerde router of een server waarlangs het verkeer wordt geleid.
Ten vierde kan een VPN een extra beschermingslaag bieden door verkeer tussen uw apparaat en een vertrouwde server te versleutelen voordat het uw router of internetprovider bereikt. Dit betekent dat zelfs als de DNS van uw router is gemanipuleerd, de inhoud van uw verkeer onleesbaar blijft voor iedereen die zich tussen u en uw bestemming bevindt.
Geen van deze maatregelen is complex of duur, maar de GRU-operatie toont duidelijk aan dat onversleuteld verkeer en niet-gepatchte hardware een reëel risico vormen voor echte mensen — niet slechts een abstract gevaar.
De interventie van de FBI heeft dit specifieke netwerk verstoord, maar de onderliggende kwetsbaarheden in consumentenrouterhardware blijven bestaan. Op de hoogte blijven en basisveiligheidsmaatregelen nemen is de meest praktische reactie op een aanvalsvlak dat waarschijnlijk niet zal verdwijnen.
