ФБР нейтрализует сеть роутеров ГРУ России, используемую для перехвата DNS

ФБР и Министерство юстиции ликвидировали сеть роутеров российской военной разведки

7 апреля 2026 года Министерство юстиции США и ФБР объявили о завершении санкционированной судом операции по нейтрализации сети скомпрометированных роутеров, которые использовались подразделением в составе российского Главного разведывательного управления, более известного как ГРУ. Операция была направлена против тысяч роутеров для небольших офисов и домашних офисов (SOHO), которые были тайно захвачены с целью проведения атак с перехватом DNS против физических лиц и организаций в военном, государственном секторах и секторе критической инфраструктуры.

Масштаб и методология операции наглядно демонстрируют, как спонсируемые государством субъекты эксплуатируют незащищённое потребительское оборудование для проведения сложных разведывательных кампаний.

Как работала атака с перехватом DNS

Подразделение ГРУ воспользовалось известными уязвимостями в роутерах TP-Link — бренде, широко распространённом в домах и небольших компаниях по всему миру. Получив доступ к устройству, злоумышленники изменяли его настройки DNS. DNS, или система доменных имён, — это процесс, который преобразует адрес веб-сайта, например «example.com», в числовой IP-адрес, используемый компьютерами для подключения. По существу, она выполняет роль адресной книги интернета.

Изменяя настройки DNS на скомпрометированных роутерах, ГРУ могло перенаправлять трафик через подконтрольные им серверы, и владелец устройства при этом ничего не подозревал. Эта техника известна как атака «Посредник» (Actor-in-the-Middle). Когда жертвы пытались посетить легитимные веб-сайты или войти в учётные записи, их запросы тайно перенаправлялись. Поскольку значительная часть этого трафика не была зашифрована, злоумышленники могли перехватывать пароли, токены аутентификации и содержимое электронных писем в открытом виде.

Жертвы не делали ничего предосудительного. Они пользовались своими обычными роутерами и посещали обычные веб-сайты. Атака происходила на уровне инфраструктуры — ниже порога видимости большинства пользователей и даже многих ИТ-специалистов.

Почему SOHO-роутеры остаются постоянной мишенью

Роутеры для небольших офисов и домашних офисов стали излюбленной точкой входа для изощрённых злоумышленников по ряду причин. Их много, они зачастую плохо обслуживаются и редко контролируются. Обновления прошивок потребительских роутеров выходят нечасто, а многие пользователи никогда не меняют учётные данные по умолчанию и не проверяют настройки устройства после первоначальной установки.

Это не первый случай, когда ФБР вынуждено вмешиваться для очистки сетей скомпрометированных роутеров. Аналогичные операции в прошлые годы были направлены против инфраструктуры ботнетов, включавшей оборудование различных производителей. Устойчивость этого вектора атак отражает системную проблему: роутеры находятся на границе каждой сети, однако уделяемое им внимание с точки зрения безопасности несравнимо меньше, чем устройствам за ними.

Санкционированная судом операция Министерства юстиции предусматривала удалённое изменение настроек скомпрометированных роутеров с целью пресечения доступа ГРУ и удаления вредоносных конфигураций. Подобное вмешательство является редкостью и требует судебного разрешения, что свидетельствует о серьёзности, с которой американские власти оценивали данную угрозу.

Что это означает для вас

Если вы используете потребительский роутер дома или в небольшом офисе, эта операция является прямым сигналом о том, что ваше устройство может стать частью разведывательной операции без вашего ведома и участия. Для проведения атаки от жертв не требовалось переходить по вредоносным ссылкам или скачивать какие-либо файлы. Достаточно было того, что их роутер работал на уязвимой прошивке, а интернет-трафик проходил через него в незашифрованном виде.

В ответ на эту новость стоит предпринять ряд конкретных шагов.

Во-первых, проверьте, доступны ли обновления прошивки для вашего роутера, и установите их. Производители роутеров регулярно устраняют известные уязвимости, однако эти исправления приносят пользу только в том случае, если они установлены. На многих роутерах можно включить автоматические обновления через интерфейс настроек.

Во-вторых, измените учётные данные для входа в роутер, установленные по умолчанию. Значительная часть скомпрометированных устройств в подобных операциях взламывается с использованием заводских имён пользователей и паролей, которые находятся в открытом доступе.

В-третьих, задумайтесь о том, какой вид имеет ваш интернет-трафик после того, как он покидает роутер. Незашифрованный трафик — HTTP-соединения, некоторые почтовые протоколы или определённые виды взаимодействия приложений — может быть прочитан в случае перенаправления DNS. Использование зашифрованных протоколов DNS, таких как DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT), гарантирует, что ваши DNS-запросы не смогут быть перехвачены или подменены скомпрометированным роутером или сервером, через который он маршрутизирует трафик.

В-четвёртых, VPN обеспечивает дополнительный уровень защиты, шифруя трафик между вашим устройством и доверенным сервером ещё до того, как он достигает вашего роутера или интернет-провайдера. Это означает, что даже если настройки DNS вашего роутера были изменены злоумышленниками, содержимое вашего трафика останется нечитаемым для любого, кто находится между вами и пунктом назначения.

Ни одна из этих мер не является сложной или дорогостоящей, однако операция ГРУ наглядно показывает, что незашифрованный трафик и необновлённое оборудование создают реальную угрозу для реальных людей, а не просто абстрактный риск.

Вмешательство ФБР нейтрализовало эту конкретную сеть, однако базовые уязвимости в потребительском роутерном оборудовании никуда не исчезли. Осведомлённость и принятие базовых защитных мер — наиболее практичный ответ на вектор атак, который вряд ли исчезнет в ближайшее время.