ФБР знешкодило мережу маршрутизаторів із DNS-hijacking, що використовувалася російським ГРУ

ФБР та Міністерство юстиції розгромили мережу маршрутизаторів російської військової розвідки

Міністерство юстиції США та ФБР оголосили 7 квітня 2026 року про завершення санкціонованої судом операції з нейтралізації мережі скомпрометованих маршрутизаторів, які використовувалися підрозділом у складі Головного розвідувального управління Росії, більш відомого як ГРУ. Операція була спрямована проти тисяч маршрутизаторів для малих офісів і домашнього використання (SOHO), які були непомітно захоплені для проведення атак DNS-hijacking проти фізичних осіб та організацій у військовому, урядовому секторах і секторах критичної інфраструктури.

Масштаб і метод операції дають чітке уявлення про те, як спонсоровані державою суб'єкти використовують непомічене споживче обладнання для проведення складних розвідувальних кампаній.

Як працювала атака DNS-hijacking

Підрозділ ГРУ використав відомі вразливості в маршрутизаторах TP-Link — бренді, що широко розповсюджений у домівках і малому бізнесі по всьому світу. Отримавши доступ до пристрою, зловмисники маніпулювали його налаштуваннями DNS. DNS, або система доменних імен, — це процес, який перетворює адресу веб-сайту, наприклад «example.com», у числову IP-адресу, що використовується комп'ютерами для підключення. По суті, вона функціонує як адресна книга інтернету.

Змінюючи налаштування DNS на скомпрометованих маршрутизаторах, ГРУ могло перенаправляти трафік через сервери під своїм контролем — і все це без відома власника пристрою. Ця техніка відома як атака «суб'єкт посередині» (Actor-in-the-Middle). Коли жертви намагалися відвідати легітимні веб-сайти або увійти до облікових записів, їхні запити непомітно перенаправлялися. Оскільки значна частина цього трафіку була незашифрованою, зловмисники могли перехоплювати паролі, маркери автентифікації та вміст електронної пошти у відкритому вигляді.

Жертви не обов'язково робили щось неправильно. Вони користувалися своїми звичайними маршрутизаторами, відвідували звичайні веб-сайти. Атака відбувалася на рівні інфраструктури — нижче порогу видимості для більшості користувачів і навіть для багатьох ІТ-команд.

Чому маршрутизатори SOHO є постійною ціллю

Маршрутизатори для малих офісів і домашнього використання стали улюбленою точкою входу для складних суб'єктів загроз з кількох причин. Їх дуже багато, вони часто погано обслуговуються і рідко перебувають під моніторингом. Оновлення мікропрограмного забезпечення споживчих маршрутизаторів виходять нечасто, а багато користувачів ніколи не змінюють облікові дані за замовчуванням і не переглядають налаштування пристрою після початкового налаштування.

Це не перший раз, коли ФБР змушене втручатися для усунення наслідків у скомпрометованих мережах маршрутизаторів. Подібні операції були спрямовані проти інфраструктури ботнетів у попередні роки та стосувалися обладнання від різних виробників. Постійність цього вектора атаки відображає структурну проблему: маршрутизатори знаходяться на межі кожної мережі, але отримують значно менше уваги з точки зору безпеки, ніж пристрої за ними.

Санкціонована судом операція Міністерства юстиції передбачала віддалену модифікацію скомпрометованих маршрутизаторів з метою позбавлення ГРУ доступу та видалення шкідливих конфігурацій. Такий тип втручання є рідкісним і вимагає судового дозволу, що свідчить про те, наскільки серйозно американська влада сприйняла цю загрозу.

Що це означає для вас

Якщо ви використовуєте споживчий маршрутизатор вдома або в малому офісі,ця операція є прямим сигналом того, що ваше обладнання може стати частиною розвідувальної операції без вашого відома чи участі. Атака не вимагала від жертв кліку на шкідливе посилання або завантаження чогось. Вона вимагала лише того, щоб їхній маршрутизатор працював із вразливим мікропрограмним забезпеченням, а їхній інтернет-трафік проходив через нього у незашифрованому вигляді.

У відповідь на цю новину варто вжити конкретних заходів.

По-перше, перевірте, чи доступні оновлення мікропрограмного забезпечення для вашого маршрутизатора, і встановіть їх. Виробники маршрутизаторів регулярно виправляють відомі вразливості, але ці виправлення корисні лише в разі їх встановлення. Багато маршрутизаторів дозволяють увімкнути автоматичне оновлення через інтерфейс налаштувань.

По-друге, змініть облікові дані для входу за замовчуванням на вашому маршрутизаторі. Значна кількість скомпрометованих пристроїв у подібних операціях були зламані з використанням заводських імен користувачів і паролів, які є загальнодоступними.

По-третє, подумайте про те, який вигляд має ваш інтернет-трафік під час виходу з маршрутизатора. Незашифрований трафік — будь то HTTP-з'єднання, деякі поштові протоколи або певні комунікації додатків — може бути прочитаний у разі перенаправлення вашого DNS. Використання зашифрованих протоколів DNS, таких як DNS-over-HTTPS (DoH) або DNS-over-TLS (DoT), гарантує, що самі ваші DNS-запити не можуть бути перехоплені або підроблені скомпрометованим маршрутизатором чи сервером, через який він маршрутизує трафік.

По-четверте, VPN може забезпечити додатковий рівень захисту шляхом шифрування трафіку між вашим пристроєм і довіреним сервером ще до того, як він потрапить до вашого маршрутизатора або інтернет-провайдера. Це означає, що навіть якщо DNS вашого маршрутизатора було підроблено, вміст вашого трафіку залишається нечитабельним для будь-кого, хто знаходиться між вами і вашим пунктом призначення.

Жоден із цих заходів не є складним або дорогим, але операція ГРУ чітко показує, що незашифрований трафік і незаплатчоване обладнання створюють реальну небезпеку для реальних людей, а не просто абстрактний ризик.

Втручання ФБР нейтралізувало цю конкретну мережу, але базові вразливості споживчого обладнання маршрутизаторів залишаються. Бути поінформованим і вживати базових захисних заходів — це найбільш практична відповідь на поверхню атаки, яка навряд чи зникне.