Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varuje před rozsáhlou kyberšpionážní kampaní, za kterou stojí ruský státní aktér APT28. Skupina spadající pod ruské vojenské zpravodajství GRU (známá také jako Fancy Bear, Forest Blizzard či Sofacy Group) dokázala vytvořit globální síť kompromitovaných SOHO routerů (zařízení pro malé a domácí kanceláře).
Útoky, jak zmiňuje NÚKIB, zasáhly široký okruh obětí ve Spojených státech i dalších zemích včetně České republiky, přičemž do mezinárodní operace se zapojilo i české Vojenské zpravodajství. Podle zpráv americké FBI a ministerstva spravedlnosti probíhá tato kampaň minimálně od roku 2024 a odlišuje se specifickým způsobem provedení. Útočníci zneužívají zranitelnost CVE-2023-50224 v populárním a celosvětově prodávaném modelu TP-Link TL-WR841N. Tato bezpečnostní chyba jim umožňuje obejít autentizaci a získat k routeru neoprávněný přístup.
Největší riziko hrozí zařízením, u kterých uživatelé ponechali výchozí administrátorská hesla. Po úspěšném průniku útočníci změní konfiguraci routeru, což má fatální dopad na všechna připojená zařízení v síti:
- Přesměrování provozu: Útočníci upraví nastavení služeb DHCP a DNS. Síťový provoz z připojených počítačů a telefonů je následně směrován přes DNS servery kontrolované útočníky.
- Útoky typu Adversary-in-the-Middle (AitM): Pro vybrané domény a služby (například MS Outlook Web Access) podvrhne útočník DNS odpovědi. Tímto způsobem dokáže monitorovat i šifrovanou komunikaci (kterou běžně chrání SSL/TLS).
- Krádeže citlivých dat: Skupina takto získává přístupová hesla, autentizační tokeny, obsah e-mailů a další důvěrná data.
Ruská vládní špionáž se z nasbíraných dat zaměřuje primárně na armádní a vládní instituce a také na organizace spadající do oblasti kritické infrastruktury.
Mohlo by vás zajímat
Jak zabezpečit svůj router?
Abyste minimalizovali riziko kompromitace vaší sítě, NÚKIB a bezpečnostní složky doporučují neprodleně provést následující kroky:
- Změňte výchozí přihlašovací údaje: Nikdy nenechávejte na routeru tovární uživatelské jméno a heslo pro administraci.
- Aktualizujte firmware: Pravidelně instalujte nejnovější bezpečnostní aktualizace vydané výrobcem.
- Pozor na konec životnosti (EOL): Pokud vaše zařízení již není výrobcem podporováno a nedostává aktualizace, zvažte jeho výměnu za nový model.
- Omezte vzdálenou správu: V nastavení routeru zablokujte nebo striktně omezte možnost správy zařízení z vnějšího internetu. Fyzicky také zkontrolujte, zda máte kabel od poskytovatele internetu správně zapojen do portu WAN.
- Sledujte varování prohlížeče: Věnujte zvýšenou pozornost všem upozorněním internetových prohlížečů nebo e-mailových klientů na neplatné či podezřelé bezpečnostní certifikáty.
Tenhle případ mě jen utvrzuje v tom, že éra, kdy jsme domácí routery brali jen jako ty blikající krabičky někde v rohu, na které sedá prach, definitivně skončila. Když dokáže ruská vojenská rozvědka proměnit spotřební hardware za pár stovek v efektivní zbraň pro globální špionáž, je to pro nás všechny dost drsný budíček.
Mohlo by vás zajímat
Znovu se ukazuje, jak moc podceňujeme naprosté základy – nechávání výchozích hesel nebo ignorování aktualizací firmwaru totiž útočníkům ty dveře do naší soukromé sítě doslova otevírá dokořán. Celá tahle kauza kolem TP-Linku pro mě není jen nějakou vzdálenou politickou zprávou z médií, ale je to jasný důkaz, že moderní kybernetická válka se už dávno netýká jen serverů tajných služeb, ale odehrává se klidně i u nás doma v obýváku.
