FBI rozbija rosyjską sieć routerów do przejęcia DNS należącą do GRU

FBI i DOJ rozmontowują sieć routerów rosyjskiego wywiadu wojskowego

Departament Sprawiedliwości USA i FBI ogłosiły 7 kwietnia 2026 roku zakończenie operacji autoryzowanej przez sąd, której celem było rozbicie sieci skompromitowanych routerów wykorzystywanych przez jednostkę rosyjskiego Głównego Zarządu Wywiadowczego, szerzej znanego jako GRU. Operacja wymierzona była w tysiące routerów przeznaczonych do małych biur i użytku domowego (SOHO), które zostały po cichu przejęte w celu przeprowadzania ataków polegających na przejęciu DNS wymierzonych w osoby prywatne oraz organizacje z sektorów wojskowego, rządowego i infrastruktury krytycznej.

Skala i metoda operacji stanowią wyraźne okno na to, w jaki sposób podmioty sponsorowane przez państwa wykorzystują niedoceniany sprzęt konsumencki do prowadzenia wyrafinowanych kampanii wywiadowczych.

Jak działał atak na DNS

Jednostka GRU wykorzystała znane luki w routerach TP-Link — marki powszechnie spotykanej w domach i małych firmach na całym świecie. Po uzyskaniu dostępu do urządzenia atakujący manipulowali jego ustawieniami DNS. DNS, czyli System Nazw Domenowych, to proces tłumaczący adres witryny internetowej, taki jak „example.com", na numeryczny adres IP używany przez komputery do nawiązywania połączeń. Pełni on funkcję, mówiąc w skrócie, książki adresowej internetu.

Zmieniając ustawienia DNS na skompromitowanych routerach, GRU było w stanie przekierowywać ruch przez kontrolowane przez siebie serwery, bez wiedzy właścicieli urządzeń. Technika ta znana jest jako atak typu Actor-in-the-Middle. Gdy ofiary próbowały odwiedzać legalne strony internetowe lub logować się na swoje konta, ich żądania były po cichu przekierowywane. Ponieważ znaczna część tego ruchu była niezaszyfrowana, atakujący mogli przechwytywać hasła, tokeny uwierzytelniające i treści wiadomości e-mail w postaci czystego tekstu.

Ofiary niekoniecznie robiły cokolwiek niewłaściwego. Korzystały ze swoich zwykłych routerów i odwiedzały zwykłe strony internetowe. Atak miał miejsce na poziomie infrastruktury, poniżej progu widoczności dla większości użytkowników, a nawet wielu zespołów IT.

Dlaczego routery SOHO są stałym celem ataków

Routery do małych biur i użytku domowego stały się ulubionym punktem wejścia dla zaawansowanych podmiotów stanowiących zagrożenie z kilku powodów. Jest ich wiele, są często słabo utrzymywane i rzadko monitorowane. Aktualizacje oprogramowania układowego routerów konsumenckich są rzadkie, a wielu użytkowników nigdy nie zmienia domyślnych danych uwierzytelniających ani nie sprawdza ustawień urządzenia po początkowej konfiguracji.

Nie jest to pierwszy raz, kiedy FBI musiało interweniować w celu oczyszczenia sieci skompromitowanych routerów. Podobne operacje wymierzone były w infrastrukturę botnetów w poprzednich latach, obejmując sprzęt wielu producentów. Stałość tego wektora ataku odzwierciedla strukturalny problem: routery stoją na granicy każdej sieci, lecz poświęca się im znacznie mniej uwagi pod względem bezpieczeństwa niż urządzeniom znajdującym się za nimi.

Autoryzowana przez sąd operacja Departamentu Sprawiedliwości polegała na zdalnej modyfikacji skompromitowanych routerów w celu odcięcia dostępu GRU i usunięcia złośliwych konfiguracji. Tego rodzaju interwencja jest rzadkością i wymaga zgody sądu, co świadczy o tym, jak poważnie władze USA oceniały to zagrożenie.

Co to oznacza dla Ciebie

Jeśli używasz routera konsumenckiego w domu lub małym biurze, ta operacja jest wyraźnym sygnałem, że Twój sprzęt może stać się częścią operacji wywiadowczej bez Twojej wiedzy ani udziału. Atak nie wymagał od ofiar kliknięcia złośliwego łącza ani pobierania czegokolwiek. Wystarczyło, że ich router działał na podatnym oprogramowaniu układowym, a ich ruch internetowy przepływał przez niego w postaci niezaszyfrowanej.

W odpowiedzi na te informacje warto podjąć konkretne kroki.

Po pierwsze, sprawdź, czy dla Twojego routera dostępne są aktualizacje oprogramowania układowego i zastosuj je. Producenci routerów regularnie łatają znane luki, ale te poprawki są użyteczne tylko wtedy, gdy zostaną zainstalowane. Wiele routerów umożliwia włączenie automatycznych aktualizacji poprzez interfejs ustawień.

Po drugie, zmień domyślne dane logowania do routera. Duża liczba skompromitowanych urządzeń w tego rodzaju operacjach jest przejmowana przy użyciu fabrycznych nazw użytkownika i haseł, które są publicznie udokumentowane.

Po trzecie, zastanów się, jak wygląda Twój ruch internetowy w momencie opuszczania routera. Niezaszyfrowany ruch — czy to połączenia HTTP, niektóre protokoły pocztowe, czy określone komunikaty aplikacji — może zostać odczytany, jeśli Twój DNS jest przekierowywany. Korzystanie z zaszyfrowanych protokołów DNS, takich jak DNS-over-HTTPS (DoH) lub DNS-over-TLS (DoT), zapewnia, że same zapytania DNS nie mogą zostać przechwycone ani zmanipulowane przez skompromitowany router lub serwer, przez który kieruje ruch.

Po czwarte, sieć VPN może zapewnić dodatkową warstwę ochrony, szyfrując ruch między Twoim urządzeniem a zaufanym serwerem jeszcze zanim dotrze on do Twojego routera lub dostawcy usług internetowych. Oznacza to, że nawet jeśli DNS Twojego routera został zmanipulowany, zawartość Twojego ruchu pozostaje nieczytelna dla kogokolwiek znajdującego się pomiędzy Tobą a miejscem docelowym.

Żaden z tych środków nie jest skomplikowany ani kosztowny, lecz operacja GRU wyraźnie pokazuje, że niezaszyfrowany ruch i niezałatany sprzęt stwarzają realne zagrożenie dla prawdziwych ludzi — nie tylko abstrakcyjne ryzyko.

Interwencja FBI rozbiła tę konkretną sieć, jednak podstawowe luki w routerach konsumenckich pozostają. Bycie na bieżąco i podejmowanie podstawowych kroków ochronnych to najbardziej praktyczna odpowiedź na powierzchnię ataku, która nie zniknie w najbliższym czasie.