FBI Perturbă Rețeaua de Routere pentru Deturnarea DNS a GRU Rus

FBI și DOJ Desființează Rețeaua de Routere a Serviciului de Informații Militare Rus

Departamentul de Justiție al SUA și FBI au anunțat pe 7 aprilie 2026 că au finalizat o operațiune autorizată de instanță pentru a perturba o rețea de routere compromise, utilizate de o unitate din cadrul Direcției Principale de Informații a Rusiei, mai bine cunoscute sub acronimul GRU. Operațiunea a vizat mii de routere de tip small office și home office (SOHO) care fuseseră deturnate discret pentru a efectua atacuri de deturnare DNS împotriva unor persoane și organizații din sectoarele militar, guvernamental și al infrastructurii critice.

Amploarea și metoda operațiunii oferă o imagine clară asupra modului în care actorii susținuți de state exploatează hardware-ul de consum neglijat pentru a desfășura campanii sofisticate de culegere de informații.

Cum a Funcționat Atacul de Deturnare DNS

Unitatea GRU a exploatat vulnerabilități cunoscute ale routerelor TP-Link, o marcă întâlnită frecvent în locuințe și întreprinderi mici din întreaga lume. Odată pătrunși într-un dispozitiv, atacatorii manipulau setările DNS ale acestuia. DNS, sau Sistemul de Nume de Domeniu, este procesul care traduce adresa unui site web, precum „example.com", în adresa IP numerică pe care computerele o utilizează pentru a se conecta. Funcționează, în esență, ca agendă de adrese a internetului.

Prin modificarea setărilor DNS pe routerele compromise, GRU putea redirecționa traficul prin servere aflate sub controlul său, fără ca proprietarul dispozitivului să știe vreodată. Această tehnică este cunoscută sub numele de atac Actor-in-the-Middle. Atunci când victimele încercau să acceseze site-uri legitime sau să se autentifice în conturi, solicitările lor erau redirecționate în mod silențios. Deoarece o mare parte din acest trafic era necriptat, atacatorii puteau colecta parole, jetoane de autentificare și conținut de e-mail în format text simplu.

Victimele nu făceau neapărat ceva greșit. Foloseau routerele obișnuite și vizitau site-uri obișnuite. Atacul s-a produs la nivel de infrastructură, sub nivelul de vizibilitate al majorității utilizatorilor și chiar al multor echipe IT.

De Ce Routerele SOHO Reprezintă o Țintă Persistentă

Routerele de tip small office și home office au devenit un punct de intrare preferat pentru actorii de amenințări sofisticate din mai multe motive. Sunt numeroase, adesea întreținute deficitar și rareori monitorizate. Actualizările de firmware pentru routerele de consum sunt rare, iar mulți utilizatori nu schimbă niciodată credențialele implicite și nu revizuiesc setările dispozitivului după configurarea inițială.

Nu este prima dată când FBI a trebuit să intervină pentru a remedia rețele de routere compromise. Operațiuni similare au vizat infrastructuri botnet în anii precedenți, implicând hardware de la mai mulți producători. Constanța acestui vector de atac reflectă o problemă structurală: routerele se află la granița fiecărei rețele, dar primesc mult mai puțină atenție din punct de vedere al securității față de dispozitivele din spatele lor.

Operațiunea autorizată de instanță a Departamentului de Justiție a implicat modificarea de la distanță a routerelor compromise pentru a întrerupe accesul GRU și a elimina configurațiile malițioase. Acest tip de intervenție este rar și necesită aprobare judiciară, ceea ce semnalează cât de serios au privit autoritățile americane această amenințare.

Ce Înseamnă Aceasta Pentru Dumneavoastră

Dacă utilizați un router de consum acasă sau într-un birou mic, această operațiune reprezintă un semnal clar că hardware-ul dumneavoastră poate deveni parte a unei operațiuni de informații fără știrea sau participarea dumneavoastră. Atacul nu a necesitat ca victimele să acceseze un link malițios sau să descarce ceva. A necesitat doar ca routerul lor să ruleze firmware vulnerabil și ca traficul lor de internet să treacă prin acesta necriptat.

Există pași concreți care merită urmați ca răspuns la această știre.

În primul rând, verificați dacă routerul dumneavoastră are actualizări de firmware disponibile și instalați-le. Producătorii de routere remediază periodic vulnerabilitățile cunoscute, dar acele remedieri sunt utile doar dacă sunt instalate. Multe routere permit activarea actualizărilor automate prin interfața de setări.

În al doilea rând, schimbați credențialele de autentificare implicite ale routerului. Un număr mare de dispozitive compromise în operațiuni de acest gen sunt accesate folosind nume de utilizator și parole prestabilite din fabrică, care sunt documentate public.

În al treilea rând, luați în considerare cum arată traficul dumneavoastră de internet în momentul în care părăsește routerul. Traficul necriptat, fie că sunt conexiuni HTTP, anumite protocoale de e-mail sau anumite comunicații ale aplicațiilor, poate fi citit dacă DNS-ul dumneavoastră este redirecționat. Utilizarea protocoalelor DNS criptate, precum DNS-over-HTTPS (DoH) sau DNS-over-TLS (DoT), asigură că interogările DNS în sine nu pot fi interceptate sau manipulate de un router compromis sau de un server prin care acesta rutează traficul.

În al patrulea rând, un VPN poate oferi un nivel suplimentar de protecție prin criptarea traficului dintre dispozitivul dumneavoastră și un server de încredere, înainte ca acesta să ajungă la router sau la furnizorul de servicii de internet. Aceasta înseamnă că, chiar dacă DNS-ul routerului a fost alterat, conținutul traficului rămâne ilizibil pentru oricine s-ar afla între dumneavoastră și destinație.

Niciunul dintre aceste măsuri nu este complex sau costisitor, dar operațiunea GRU demonstrează clar că traficul necriptat și hardware-ul neactualizat creează o expunere reală pentru persoane reale, nu doar un risc abstract.

Intervenția FBI a perturbat această rețea particulară, însă vulnerabilitățile de bază din hardware-ul routerelor de consum rămân. Menținerea informată și adoptarea unor măsuri de protecție de bază reprezintă răspunsul cel mai practic față de o suprafață de atac care nu va dispărea în curând.