Ruský státní aktér APT28, spadající pod ruské vojenské zpravodajství GRU, vybudoval podle zprávy amerického ministerstva spravedlnosti a Federálního úřadu pro vyšetřování (FBI) globální síť kompromitovaných routerů pro malé a domácí kanceláře (tzv. SOHO routerů). Cílem aktivity skupiny APT28 je kyberšpionáž a největší riziko se týká zařízení, která stále používají výchozí administrátorská hesla.
Současná kampaň ruského 85. hlavního centra speciálních služeb GRU (85. GTsSS), která dle zprávy FBI probíhá minimálně od roku 2024, se od předchozích liší způsobem provedení. APT28 (též známý jako Fancy Bear, Forest Blizzard či Sofacy Group) využil při průniku do routerů zranitelnost CVE-2023-50224 v modelu TP-Link TL-WR841N, která umožňuje obejít autentizaci a získat neoprávněný přístup k routerům. Prostřednictvím této zranitelnosti aktér upravil jejich konfiguraci, kterou převzala i další zařízení připojená na kompromitované routery.
Konkrétně dle zprávy FBI došlo ke změně nastavení služeb DHCP/DNS na routerech – tím byl síťový provoz připojených počítačů a telefonů přesměrován na útočníkem kontrolované DNS servery. Útočník tak mohl monitorovat dotazy na doménová jména a pro vybrané domény a služby (např. MS Outlook Web Access) vracet podvržené DNS odpovědi a provádět tzv. adversary-in-the-middle útoky na šifrovanou komunikaci.
Tímto způsobem APT28 získávala hesla, autentizační tokeny a další citlivé informace (včetně obsahu e-mailů či webové komunikace), které by za normálních okolností chránilo šifrování SSL/TLS. Skupina kompromitovala široký okruh obětí ve Spojených státech i dalších státech, včetně České republiky. Z nasbíraných dat se zaměřovala zejména na informace týkající se armádních a vládních institucí či organizací z oblasti kritické infrastruktury – tedy cílů spadajících do zpravodajského zájmu ruské vlády.
Do mezinárodní operace vedené USA se zapojilo také Vojenské zpravodajství, které o věci informovalo na svých webových stránkách.
Co má dělat běžný uživatel?
Pro mitigaci vzniklé hrozby doporučujeme, aby správci a uživatelé ohrožených routerů provedli následující kroky:
Pokud je zařízení na konci životnosti (EOL) a již nedostává bezpečnostní aktualizace, zvažte jeho výměnu;
Aktualizujte firmware zařízení na nejnovější dostupnou verzi od výrobce;
Změňte výchozí přihlašovací údaje (uživatelská jména a hesla) administrátorských účtů na routeru;
Vypněte nebo omezte vzdálenou správu routeru z internetu (např. vhodnou konfigurací routeru), aby útočník nemohl zařízení zneužívat z vnější sítě, a zkontrolujte fyzické zapojení kabelu od poskytovatele připojení do portu WAN v routeru.
Uživatelé by také měli věnovat zvýšenou pozornost varováním internetových prohlížečů či e-mailových klientů, která se týkají neplatných certifikátů.
Tisková zpráva FBI: https://www.ic3.gov/PSA/2026/PSA260407
08.04.2026
