Vojenské zpravodajství a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) varují před rozsáhlou kampaní ruské rozvědky GRU, která se zaměřila na běžná síťová zařízení v českých domácnostech a kancelářích. Skupina APT28 ovládla tisíce routerů, přes které získává nekontrolovaný přístup k heslům a soukromé poště uživatelů.
Útočníci zneužili konkrétní bezpečnostní chybu, aby nenápadně přesměrovali veškerý internetový provoz na své servery. Jaké nebezpečí hrozí právě vašim datům a proč šifrování v tomto případě nemusí stačit?
Útok na routery TP-Link trvá minimálně od roku 2024
Ruský státní aktér APT28, kterého bezpečnostní experti znají také pod názvy Fancy Bear, Forest Blizzard či Sofacy Group, vybudoval podle zjištění FBI a amerického ministerstva spravedlnosti globální síť kompromitovaných zařízení. Hlavním cílem se staly routery pro malé a domácí kanceláře (SOHO), konkrétně model TP-Link TL-WR841N. Hackeři u něj zneužili kritickou zranitelnost CVE-2023-50224, která jim dovolila zcela obejít autentizaci a získat nad zařízením neoprávněný přístup a plnou kontrolu.
Mluvčí Vojenského zpravodajství Jan Pejšek potvrdil, že útočníci, kteří spadají pod ruskou vojenskou zpravodajskou službu GRU, využívali tato slabě zabezpečená zařízení k útokům na státní instituce i soukromé subjekty v Česku i v zahraničí. Skupina se zaměřuje především na armádní cíle a organizace kritické infrastruktury, které tvoří jádro zpravodajského zájmu ruské vlády. Kampaň podle zprávy FBI probíhá minimálně od roku 2024 a od předchozích operací se liší zejména vysokou technickou precizností provedení.
„Vojenské zpravodajství v rámci svých zákonných kompetencí provedlo aktivní zásah v kybernetickém prostoru. Během mezinárodní operace Masquerade vedené FBI byla provedena opatření proti globální infrastruktuře kompromitovaných síťových zařízení zneužívaných aktérem APT28 spojovaným s ruskou GRU. Kompromitovaná zařízení byla zneužívána ke sběru strategicky významných informací proti vojenským a vládním cílům v ČR i v zahraničí, včetně našich spojenců v NATO a EU,“ uvedlo Vojenské zpravodajství na síti X.
Mechanismus špionáže: Přesměrování provozu a krádež hesel
Když hackeři do routeru pronikli, změnili v něm nastavení klíčových služeb DHCP a DNS. Tímto krokem zajistili, aby veškerý síťový provoz z připojených počítačů a telefonů protékal přes DNS servery, které mají útočníci plně pod kontrolou. Rusové tak mohli v reálném čase monitorovat dotazy na doménová jména. Pro vybrané služby, jako je například webové rozhraní pošty MS Outlook Web Access, pak vraceli podvržené DNS odpovědi, které uživatele nevědomky svedly na falešnou stopu.
Tato metoda dovolila skupině APT28 provádět takzvané „adversary-in-the-middle“ útoky na šifrovanou komunikaci. Tímto rafinovaným způsobem útočníci získávali:
Mohlo by vás zajímat
- Přihlašovací hesla a autentizační tokeny k citlivým účtům.
- Obsah e-mailů a kompletní webovou komunikaci uživatelů.
- Soukromé informace, které za normálních okolností chrání šifrování SSL/TLS.
Právě schopnost obejít běžné šifrování dělá z této kampaně mimořádnou hrozbu, protože uživatelé se často mylně domnívají, že jsou na zabezpečených stránkách v naprostém bezpečí.
Mezinárodní zásah a klíčová doporučení pro uživatele
Do rozsáhlé mezinárodní operace pod vedením USA se letos v březnu zapojilo také české Vojenské zpravodajství, které o aktivitách ruské rozvědky informovalo na svém webu. NÚKIB však varuje, že největší riziko stále hrozí zařízením, u kterých lidé ponechali výchozí administrátorská hesla. Útočníci totiž taková zařízení vyhledávají automatizovaně. Uživatelé by také měli věnovat zvýšenou pozornost varováním prohlížečů nebo e-mailových klientů o neplatných certifikátech. Tyto hlášky mohou signalizovat, že hacker právě v tuto chvíli napadá jejich šifrované spojení.
Správci sítí i běžní uživatelé ohrožených routerů by měli neprodleně provést tyto kroky:
- Aktualizujte firmware na nejnovější verzi, kterou výrobce nabízí.
- Změňte výchozí přihlašovací jména a hesla do administrace routeru na unikátní a silná.
- Vypněte nebo přísně omezte vzdálenou správu routeru z vnější sítě internetu.
- Zkontrolujte fyzické zapojení kabelu od poskytovatele připojení do portu WAN v routeru.
- Pokud vaše zařízení již nedostává bezpečnostní aktualizace (je na konci životnosti EOL), odborníci doporučují jeho okamžitou výměnu za modernější model.
