APT28 (GRU) masivně zneužíval routery TP-Link ke globální kyberspionáži
NÚKIB, FBI a další západní bezpečnostní agentury varují před rozsáhlou kampaní ruské vojenské rozvědky GRU (skupina APT28 / Fancy Bear), která kompromitovala desítky tisíc domácích a kancelářských routerů TP-Link a využívala je k masivnímu odposlechu a krádeži přihlašovacích údajů.
Útočníci cílili především na routery modelové řady TL-WR841N a další starší modely (Archer C5, C7, WDR, WR atd.), často s neaktualizovaným firmwarem nebo výchozími hesly. Po kompromitaci přepsali nastavení DNS a DHCP, aby veškerý provoz procházel přes jejich řízené servery (DNS hijacking + adversary-in-the-middle technika). Tím byli schopni zachytávat přihlašovací údaje, tokeny a komunikaci i ze šifrovaných spojení.
Kampaň byla odhalena v dubnu 2026. Americké úřady (FBI a Ministerstvo spravedlnosti) provedly soudně autorizovanou operaci, při níž část americké infrastruktury APT28 neutralizovaly. Koordinované varování vydaly také NÚKIB, německý BfV a britské NCSC.
Podle dostupných informací byly kompromitovány tisíce zařízení po celém světě, přičemž útočníci následně selektivně cílili na státní instituce, ozbrojené síly a subjekty kritické infrastruktury.
Doporučení NÚKIB a FBI
- Okamžitě aktualizujte firmware routeru na nejnovější verzi (pokud výrobce stále podporuje).
- Změňte výchozí administrátorské heslo na silné.
- Vypněte vzdálenou správu routeru z internetu (WAN management).
- Zvažte výměnu end-of-life zařízení (TP-Link již u mnoha starších modelů ukončil podporu).
- Monitorujte DNS nastavení a varování prohlížeče o nedůvěryhodných certifikátech.
Tento incident opět potvrzuje, že slabě zabezpečené SOHO routery představují významné riziko pro celé organizace – slouží jako nenápadný vstupní bod pro státem sponzorované aktéry.
Další články
Chat Control: Dočasné nařízení pro skenování CSAM vypršelo, tech firmy pokračují v šedé zóně
APT28 (GRU) masivně zneužíval routery TP-Link ke globální kyberspionáži
