Zatímco si instalujeme antiviry a dáváme pozor na phishingové e-maily, router v rohu obýváku tiše pracuje se stejným heslem, jaké měl v den, kdy jsme ho zapojili. Ruská vojenská rozvědka tohle ví. A využívá toho v masovém měřítku.
Na router si většina z nás vzpomene, jen když vypadne internet. Jenže právě tenhle nenápadný kousek techniky se stal nástrojem ruské vojenské rozvědky GRU. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v těchto dnech varuje, že Česká republika patří mezi země zasažené rozsáhlou špionážní kampaní skupiny APT28, která systematicky napadá domácí routery značky TP-Link.
Nejde o planý poplach. Za kampaní stojí 85. hlavní centrum speciálních služeb GRU, což je tatáž jednotka, kterou bezpečnostní komunita zná pod přezdívkami Fancy Bear, Forest Blizzard nebo Sofacy Group. Jde o skupinu, která má na kontě zásahy do amerických prezidentských voleb v roce 2016 i útok na servery Demokratického národního výboru. Tentokrát si ale nevybrala velké korporátní sítě. Zaměřila se na routery v domácnostech a malých kancelářích.
Staří jedno heslo a útočníco odposlouchávají e-mailovou komunikaci
Celá operace podle zprávy amerického FBI probíhá minimálně od roku 2024 a využívá konkrétní zranitelnost CVE-2023-50224 v modelu TP-Link TL-WR841N. Tento router patří (a zejména patřil) k nejprodávanějším modelům na českém trhu vůbec. Stál pár stovek, zvládal základní Wi-Fi a k dostání byl prakticky v každém elektru. Právě jeho rozšířenost z něj udělala ideální cíl.
Foto: Freepik
Zmíněná zranitelnost umožňuje útočníkovi obejít autentizaci a získat administrátorský přístup k routeru. Jinými slovy – pokud jste si po vybalení routeru z krabice nezměnili výchozí heslo (a buďme upřímní, většina lidí to neudělala), APT28 se do vašeho zařízení mohla dostat bez jakéhokoli sofistikovaného hackování.
Co následovalo po průniku, je ale daleko znepokojivější. Útočníci změnili nastavení služeb DHCP a DNS na kompromitovaných routerech. V praxi to znamená, že veškerý síťový provoz připojených zařízení (počítačů, telefonů, tabletů) byl přesměrován přes servery kontrolované ruskou rozvědkou.
Člověk uprostřed vaší komunikace
Technika, kterou APT28 nasadila, se označuje jako adversary-in-the-middle útok. Router oběti vrací podvržené DNS odpovědi, takže když se uživatel pokusí přihlásit třeba do firemního webmailu přes Outlook Web Access, ve skutečnosti komunikuje s falešnou stránkou útočníka. Ten mezitím zachytí hesla, autentizační tokeny a v některých případech i obsah e-mailů či další webové komunikace. Vše navzdory tomu, že spojení vypadá jako šifrované.
Tohle je důležité si uvědomit. SSL/TLS šifrování, na které se běžně spoléháme při prohlížení internetu, v takovém scénáři neplní svůj účeů. Když útočník kontroluje DNS, může vám podstrčit vlastní certifikát a odposlouchávat komunikaci, aniž byste si toho všimli. Varovným signálem může být např. hlášení prohlížeče o neplatném certifikátu.
Česko mezi oběťmi, zapojilo se i Vojenské zpravodajství
Podle NÚKIB se skupina zaměřovala především na informace týkající se armádních a vládních institucí a organizací z oblasti kritické infrastruktury. Tedy přesně na typ dat, který spadá do zpravodajského zájmu Kremlu. Do mezinárodní operace vedené Spojenými státy se zapojilo i české Vojenské zpravodajství, které o případu informovalo na svých webových stránkách.
Rozsah kompromitace v Česku zatím nebyl veřejně upřesněn. Ale vzhledem k tomu, že model TL-WR841N se u nás prodával masově a řada kusů stále běží v domácnostech i malých firmách, lze předpokládat, že počet potenciálně zasažených zařízení není zanedbatelný.
TP-Link reaguje: Staré routery už nepodporujeme
Společnost TP-Link vydala k situaci tiskovou zprávu, ve které potvrzuje, že se problém týká starších zařízení, která dosáhla stavu ukončení podpory (EOSL) již před několika lety. Pro některé starší modely prý firma připravila bezpečnostní aktualizace, pokud to bylo technicky proveditelné. Obecně ale doporučuje přechod na novější hardware.
Foto: Freepik
„Bezpečnost jakéhokoliv zařízení se odvíjí od pozornosti, kterou věnuje uživatel danému zařízení, a pokud po celou dobu užívání pravidelně neaktualizuje firmware, sám přispívá ke zranitelnosti zařízení,“ říká Jan Návrat, Technical Support Manager ze společnosti TP-Link. Doplňuje, že naprostou nutností je vždy změnit výchozí heslo za nové, splňující bezpečnostní pravidla.
Má pravdu, ale je potřeba dodat, že výrobci routerů dlouhodobě podcenili osvětu směrem k běžným uživatelům. Kolik lidí vůbec tuší, že se do routeru dá přihlásit přes webový prohlížeč?
Co udělat hned teď
Pokud máte doma router TP-Link, a zejména model TL-WR841N nebo jiný starší kus, který jste kupovali před rokem 2022, měli byste jednat. NÚKIB doporučuje několik konkrétních kroků.
Zaprvé si ověřte, zda vaše zařízení ještě dostává bezpečnostní aktualizace. Pokud ne, je čas ho vyměnit. Moderní routery s aktualizovaným firmwarem koupíte už od tisíce korun, což je investice, která se vyplatí mnohonásobně víc než řešení následků kompromitace.
Zadruhé okamžitě změňte výchozí přihlašovací údaje k administraci routeru. Výchozí jména typu „admin/admin“ jsou první věc, kterou útočníci zkouší. Zvolte silné, unikátní heslo.
Zatřetí vypněte vzdálenou správu routeru z internetu. Naprostá většina domácích uživatelů ji nepotřebuje a její aktivace představuje zbytečně otevřená vrátka.
Zároveň zkontrolujte, že kabel od routeru poskytovatele internetu je zapojený do portu WAN, nikoliv do jednoho z LAN portů. Zní to banálně, ale špatné zapojení může způsobit bezpečnostní problémy.
Varování prohlížeče berte vážně
NÚKIB rovněž apeluje na uživatele, aby věnovali pozornost varováním internetových prohlížečů a e-mailových klientů o neplatných certifikátech. Právě taková hlášení mohou být prvním příznakem toho, že někdo manipuluje s vaším síťovým provozem.
Pokud se vám při přihlašování do internetového bankovnictví, e-mailu nebo firemních systémů zobrazí upozornění na problém s certifikátem, nepokračujte. Odpojte se, zkontrolujte router a v případě pochybností kontaktujte svého poskytovatele internetu nebo IT správce.
