Ruská vojenská rozvědka si vybudovala špionážní infrastrukturu z tisíců běžných domácích routerů, a část z nich stála přímo v Česku.
Kyberútok, který mířil na vojenské a vládní cíle, nezačínal v serverovnách, ale u Wi-Fi v domácnostech a malých kancelářích. Skupina APT28, napojená na ruskou vojenskou rozvědku GRU, od roku 2024 do roku 2026 systematicky zneužívala špatně zabezpečené routery k tomu, aby přes ně lovila přihlašovací údaje a přistupovala k cennějším cílům. České Vojenské zpravodajství kvůli tomu v březnu 2026 zasáhlo přímo na území ČR v rámci mezinárodní operace Masquerade vedené FBI.
Router jako tichý prostředník, ne přímý cíl
Útok fungoval nenápadně. APT28 se dostala do routeru a přepsala jeho DNS a DHCP nastavení, tedy tabulky, které říkají zařízením v síti, kam mají posílat provoz. Výsledkem byl takzvaný DNS hijacking: uživatel zadal adresu legitimní stránky, třeba přihlašovací stránky Outlooku, ale jeho požadavek putoval přes útočníkův server. Ten mohl odposlechnout heslo nebo přihlašovací token ještě předtím, než se uživatel vůbec dostal na skutečnou stránku. Přitom internet fungoval zdánlivě normálně a prohlížeč nemusel zobrazit žádné varování. Britský NCSC ve svém varování z 7. dubna 2026 výslovně uvádí, že mezi cílené domény patřily outlook.live.com a outlook.office365.com, tedy přístupy k firemní i osobní poště.
Konkrétním vstupním bodem byl mimo jiné model TP-Link WR841N, pravděpodobně zneužitý přes zranitelnost CVE-2023-50224. NCSC zveřejnilo seznam 23 modelových řad TP-Link a zároveň upozornilo, že seznam pravděpodobně není úplný. Jinými slovy: pokud váš model na seznamu není, neznamená to automaticky, že je v bezpečí.
Rozsah kampaně byl větší, než se zpočátku zdálo
Microsoft zaznamenal od srpna 2025 přes 200 zasažených organizací a 5 000 spotřebitelských zařízení napojených na škodlivou DNS infrastrukturu skupiny, kterou označuje jako Forest Blizzard. Analytici Lumen Black Lotus Labs pracují s ještě vyššími čísly: na vrcholu kampaně v prosinci 2025 viděli přes 18 000 unikátních IP adres ze 120 zemí komunikujících s útočníkovou infrastrukturou. Rozdíl v číslech není spor o fakta, ale odraz různých metodik. Microsoft měří potvrzené oběti, Lumen vidí širší síťový provoz, a oba pohledy dohromady ukazují, jak masivní záběr kampaň měla.
Domácí uživatel jako článek řetězce, ne jako cíl
Námitka nejsem pro Rusko zajímavý je pochopitelná, ale míjí podstatu toho, jak útok fungoval. APT28 nešla nutně rovnou po konkrétním ministru nebo analytikovi. Sbírala přístup plošně, přes co nejvíce zranitelných zařízení, a teprve pak vybírala ty s vyšší zpravodajskou hodnotou. Kompromitovaný domácí router zaměstnance státní instituce nebo obranné firmy může útočníkovi otevřít cestu do firemního cloudu, i když samotná organizace nebyla přímo prolomena. NÚKIB výslovně potvrdil, že kompromitace zasáhla oběti včetně České republiky, a upozornil, že největší riziko nesou zařízení stále používající výchozí administrátorská hesla.
Co s tím teď
FBI, NÚKIB i NCSC se shodují na stejných krocích: zkontrolovat, zda router ještě dostává bezpečnostní aktualizace, aktualizovat firmware, změnit výchozí administrátorské heslo a vypnout vzdálenou správu zařízení. Pokud je router starší a výrobce pro něj aktualizace přestal vydávat, je výměna rozumnější volba než spoléhání na to, že zrovna tento model nikoho nezaujal. Po změně nastavení routeru má smysl přegenerovat hesla k e-mailu a zapnout dvoufázové ověření, právě proto, že útočník mohl mít přístup k přihlašovacím údajům dřív, než si toho kdokoli všiml.
Lifestyle
|
PŘEČTENÍ: 3785
Lifestyle
|
PŘEČTENÍ: 4999
Lifestyle
|
PŘEČTENÍ: 2475
