Router není jen zařízení, které doma nebo v kanceláři zajišťuje Wi-Fi. Je to vstupní brána do celé sítě. Pokud se útočník dostane právě do routeru, může ovlivnit komunikaci všech připojených zařízení – počítačů, mobilních telefonů, tabletů i dalších prvků chytré domácnosti nebo malé firemní infrastruktury.
Na toto riziko aktuálně upozornil Národní úřad pro kybernetickou a informační bezpečnost v souvislosti s případem, kdy byly routery TP-Link kompromitovány ruským státním aktérem APT28. Podrobnosti zveřejnil NÚKIB v upozornění Routery TP-Link kompromitovány ruským státním aktérem APT28. Na případ upozornilo také americké FBI ve své tiskové zprávě.
Table of Contents
ToggleAPT28 vybudovala globální síť kompromitovaných routerů
Podle informací amerického ministerstva spravedlnosti a Federálního úřadu pro vyšetřování FBI vybudoval ruský státní aktér APT28 globální síť kompromitovaných routerů pro malé a domácí kanceláře. Tato zařízení se označují jako SOHO routery, tedy routery používané v domácnostech, malých firmách nebo menších kancelářích.
Skupina APT28 je spojována s ruským vojenským zpravodajstvím GRU. Je známá také pod názvy Fancy Bear, Forest Blizzard nebo Sofacy Group. Cílem aktivity nebylo pouze technické narušení zařízení, ale především kyberšpionáž a získávání citlivých informací.
Největší riziko se podle zveřejněných informací týká zařízení, která stále používají výchozí administrátorská hesla, nejsou pravidelně aktualizována nebo jsou již na konci životnosti a výrobce pro ně nevydává bezpečnostní opravy.
Zneužitá zranitelnost v routeru TP-Link TL-WR841N
Současná kampaň ruského 85. hlavního centra speciálních služeb GRU podle FBI probíhá minimálně od roku 2024. Od předchozích kampaní se liší především způsobem provedení.
Útočníci využili zranitelnost CVE-2023-50224 v modelu TP-Link TL-WR841N. Tato zranitelnost umožňuje obejít autentizaci a získat neoprávněný přístup k routeru. Veřejné informace o zranitelnostech lze dohledat například v databázi CVE.
Po úspěšném průniku mohli útočníci upravit konfiguraci routeru. Tuto změněnou konfiguraci následně převzala i další zařízení připojená k danému routeru. Právě tím se útok stal nebezpečný nejen pro samotný router, ale pro celou domácí nebo firemní síť.
Jak útok fungoval: změna DHCP a DNS
Podle FBI došlo ke změně nastavení služeb DHCP a DNS na kompromitovaných routerech. To znamená, že síťový provoz připojených počítačů a telefonů mohl být přesměrován na DNS servery ovládané útočníkem.
DNS si lze jednoduše představit jako adresář internetu. Když uživatel zadá adresu webové stránky, DNS pomáhá zařízení najít správnou internetovou adresu dané služby. Pokud ale DNS ovládá útočník, může uživatele nasměrovat na podvržené servery nebo sledovat, na jaké služby se připojuje.
Podvržené DNS odpovědi a útoky na šifrovanou komunikaci
Útočníci mohli podle FBI monitorovat dotazy na doménová jména a u vybraných domén nebo služeb vracet podvržené DNS odpovědi. Jako příklad byla zmíněna služba Microsoft Outlook Web Access.
Takový postup může umožnit tzv. adversary-in-the-middle útok. Útočník se při něm vloží mezi uživatele a službu, kterou se uživatel snaží používat. Pokud uživatel zároveň ignoruje varování prohlížeče nebo e-mailového klienta na neplatný certifikát, může se vystavit vážnému riziku.
APT28 mohla získávat hesla, tokeny i obsah komunikace
Tímto způsobem mohla skupina APT28 získávat hesla, autentizační tokeny a další citlivé informace. Podle zveřejněných informací mohlo jít také o obsah e-mailů nebo webové komunikace, která by za běžných okolností byla chráněna šifrováním SSL/TLS.
Skupina kompromitovala široký okruh obětí ve Spojených státech i dalších státech, včetně České republiky. Z nasbíraných dat se zaměřovala zejména na informace týkající se armádních a vládních institucí nebo organizací z oblasti kritické infrastruktury. Tedy na cíle, které odpovídají zpravodajskému zájmu ruské vlády.
Do mezinárodní operace vedené Spojenými státy se zapojilo také Vojenské zpravodajství České republiky, které o věci informovalo na svých webových stránkách.
Proč je bezpečnost routeru důležitá i pro běžné uživatele
Bezpečnost routeru se netýká pouze velkých firem, státních institucí nebo kritické infrastruktury. Routery v domácnostech a malých kancelářích jsou pro útočníky zajímavé právě proto, že bývají často slabě zabezpečené.
Uživatelé někdy nechávají výchozí přihlašovací údaje, neprovádějí aktualizace firmwaru a používají zařízení, která už nejsou výrobcem podporována. Přitom právě přes router prochází každodenní internetová komunikace celé domácnosti nebo malé firmy.
Pokud někdo pracuje z domova a připojuje se přes domácí síť do firemního e-mailu, cloudu, VPN nebo interních aplikací, může špatně zabezpečený router představovat riziko nejen pro něj, ale i pro zaměstnavatele.
Co má udělat běžný uživatel
NÚKIB doporučuje, aby správci a uživatelé ohrožených routerů provedli několik základních kroků. Jde o praktická opatření, která mohou výrazně snížit riziko kompromitace zařízení.
1. Zvažte výměnu zařízení na konci životnosti
Pokud je router na konci životnosti a výrobce pro něj již nevydává bezpečnostní aktualizace, je vhodné zvážit jeho výměnu. Staré zařízení může být zranitelné i v případě, že internet na první pohled funguje bez problémů.
2. Aktualizujte firmware routeru
Firmware je vnitřní software routeru. Výrobci jeho prostřednictvím opravují chyby a bezpečnostní zranitelnosti. Aktualizace firmwaru je proto jedním ze základních kroků, jak zvýšit bezpečnost routeru.
3. Změňte výchozí přihlašovací údaje
Výchozí uživatelská jména a hesla administrátorských účtů jsou často známá nebo snadno dohledatelná. Pokud je router stále používá, výrazně se zvyšuje riziko neoprávněného přístupu.
4. Vypněte nebo omezte vzdálenou správu routeru
Pokud router nespravujete z internetu, není důvod mít vzdálenou správu povolenou. Její vypnutí nebo omezení snižuje možnost, že útočník zařízení zneužije z vnější sítě.
5. Zkontrolujte zapojení kabelu do portu WAN
NÚKIB doporučuje také zkontrolovat fyzické zapojení kabelu od poskytovatele připojení do portu WAN v routeru. Správné zapojení je důležité pro vhodnou konfiguraci zařízení a omezení rizik spojených s přístupem z internetu.
6. Neignorujte varování o certifikátech
Uživatelé by měli věnovat zvýšenou pozornost varováním internetových prohlížečů nebo e-mailových klientů, která se týkají neplatných certifikátů. Takové upozornění může signalizovat pokus o útok na šifrovanou komunikaci.
Kvalitní internet není jen rychlost připojení
Při výběru internetu se často řeší hlavně rychlost, cena a dostupnost. To jsou důležité parametry, ale samy o sobě nestačí. Skutečně kvalitní internet znamená také stabilní a bezpečnou domácí síť.
Router je jejím základem. I velmi rychlé připojení může být rizikové, pokud je router zastaralý, špatně nastavený nebo chráněný výchozím heslem.
Na webu Kvalitní internet najdete informace, které pomáhají uživatelům lépe se orientovat ve výběru připojení i v tom, co ovlivňuje kvalitu internetu v praxi. Další praktické texty najdete v sekci články nebo v přehledu jak vybrat internet.
Závěr: bezpečnost routeru je první obranná linie
Případ routerů TP-Link kompromitovaných skupinou APT28 ukazuje, že bezpečnost routeru není technický detail, ale základní předpoklad bezpečného používání internetu. Router rozhoduje o tom, kudy proudí data z celé domácnosti nebo malé kanceláře.
Pokud je zařízení zastaralé, neaktualizované nebo chráněné výchozím heslem, může se stát vstupní branou pro útočníky. Aktualizace firmwaru, změna hesla, vypnutí vzdálené správy a výměna nepodporovaného zařízení jsou jednoduché kroky, které mohou výrazně snížit riziko kompromitace.
Více informací najdete v upozornění NÚKIB a v tiskové zprávě FBI.
