Blog
Pracoval i váš router pro ruskou rozvědku? Speciální díl z cyklu Skutečné příběhy z kyberprostoru

Pracoval i váš router pro ruskou rozvědku? Speciální díl z cyklu Skutečné příběhy z kyberprostoru

David Martínek
8. dubna 2026
6 min čtení

Proč se vloupávat do firmy, když stačí poslouchat za dveřmi? Přesně tuhle logiku použila skupina APT28 při jednom z největších špionážních útoků posledních let: místo složitého průniku do firemních systémů jednoduše přesměrovala internetový provoz přes vlastní servery. Tisíce routerů TP-Link po celém světě byly kompromitovány – a jejich majitelé o tom neměli tušení.

Co se vlastně stalo?

7. dubna 2026 zveřejnila FBI a  americké Ministerstvo spravedlnosti (DoJ) výsledky operace, při které byla neutralizována část globální špionážní sítě napojené na ruskou vojenskou rozvědku GRU. Kampaň dostala název FrostArmada.

Za útokem stojí skupina APT28 – v různých zdrojích označovaná také jako Fancy Bear, Forest Blizzard, Pawn Storm nebo Sednit (Microsoft ji sleduje pod označením Storm-2754). Jde o jednotku 26165 GRU, která má na svědomí mimo jiné hack DNC v roce 2016 nebo útok na satelitního operátora Viasat v roce 2022.

Tentokrát si ale nehráli s komplexním malwarem. Zvolili elegantnější a o to nebezpečnější přístup.

Jak útok fungoval: přesměrování provozu bez jediného viru

Hackeři využili veřejně zdokumentované zranitelnosti (tzv. known vulnerabilities) v routerech TP-Link a MikroTik. Konkrétně se zaměřili na model TP-Link WR841N přes zranitelnost CVE-2023-50224 – chybu, která útočníkovi umožnila získat přihlašovací údaje do routeru, aniž by znal heslo. Stačil k tomu speciálně sestavený požadavek přes webové rozhraní.

Co udělali po průniku? Nic dramatického. Jen změnili DNS nastavení routeru.

Zjednodušeně: DNS je telefonní seznam internetu. Když zadáte „outlook.com", váš počítač se routeru zeptá, na jakou adresu má jít. GRU si tenhle seznam přepsalo – a pro vybrané oběti vracelo falešné záznamy. Místo skutečného Outlooku se uživatel ocitl na jeho věrné kopii. Zadal heslo. Útočníci ho zachytili.

Výsledek: ukradená hesla, přihlašovací tokeny a autentizační cookies. Celé tiše – bez malwaru kdekoliv v síti, bez stop na firemních zařízeních. Jediná stopa vedla přímo na router: přepsané DNS nastavení, které si bez aktivního monitoringu málokdo zkontroluje.

Na vrcholu kampaně v prosinci 2025 bylo infikováno přes 18 000 routerů ve 120 zemích. Microsoft identifikoval více než 200 organizací a 5 000 koncových zařízení zasažených touto špionážní infrastrukturou.

Primárním cílem byly vládní organizace: ministerstva zahraničí, orgány činné v trestním řízení, poskytovatelé e-mailových a cloudových služeb. Útočníci ale nejdřív kompromitovali vše dostupné – a teprve pak filtrovali, co má zpravodajskou hodnotu.

Proč tohle není problém jen pro velké firmy

Možná si teď říkáte: „My jsme středně velká výrobní firma v Jihočeském kraji, ne ministerstvo zahraničí."

Jenže právě na to útočníci spoléhali.

Cílem nebyla vaše firma přímo – ale skrz váš router se mohli dostat k vašim cloudovým účtům, firemním e-mailům a přihlašovacím tokenům do Microsoft 365. A pokud jste dodavatel pro větší subjekt – třeba státní firmu nebo regulovanou organizaci – stáváte se automaticky zajímavým článkem dodavatelského řetězce.

Ostatně zákon o kybernetické bezpečnosti č. 264/2025 Sb. (česká implementace NIS2) výslovně vyžaduje řízení bezpečnosti dodavatelského řetězce. Pokud jste regulovaný subjekt, musíte mít přehled i o tom, jestli váš dodavatel nemá napadený síťový hardware.

Jak to FBI vyřešila – a co to znamená pro vás

FBI ve spolupráci s DoJ a mezinárodními partnery provedla soudně povolenou technickou operaci: soud schválil vzdálené připojení k napadeným routerům na území USA a odeslání série příkazů, které:

  1. Sesbíraly forenzní důkazy o aktivitě GRU
  2. Obnovily správné DNS nastavení (to od poskytovatele internetu)
  3. Zablokovaly původní způsob přístupu útočníků

Operace nijak nenarušila normální fungování routerů ani neshromažďovala obsah komunikace uživatelů. A důležité: každý uživatel může provedené změny kdykoli zrušit – stačí tovární reset tlačítkem přímo na routeru.

Co konkrétně dělat hned teď

DoJ a NCSC (britský Národní úřad pro kybernetickou bezpečnost) vydaly doporučení. Tady je překlad do praxe:

1. Zkontrolujte, jaký router používáte

Útok se primárně týkal modelu TP-Link WR841N a dalších starších zařízení TP-Link a MikroTik – zejména těch, která výrobce přestal podporovat. Pokud takové zařízení máte, věnujte mu zvýšenou pozornost.

2. Ověřte DNS nastavení routeru

Přihlaste se do administrace routeru a podívejte se, jaké DNS servery jsou nastavené. Ty správné jsou obvykle od vašeho poskytovatele internetu nebo z veřejných zdrojů (8.8.8.8 Google, 1.1.1.1 Cloudflare). Neznámé adresy jsou varovný signál.

3. Aktualizujte firmware

APT28 cílilo na zařízení bez bezpečnostních aktualizací. Pokud výrobce vydal novou verzi firmwaru (softwarového vybavení routeru), nainstalujte ji. Pokud váš router aktualizace nepodporuje nebo ho výrobce přestal podporovat, vyměňte ho za nový.

4. Změňte výchozí přihlašovací údaje

NCSC upozornilo, že útočníci zneužívali výchozí hesla, která výrobce nastavil z továrny – a která jsou napsaná v příručce každého routeru. Tato hesla změňte na vlastní, silná hesla. Totéž platí pro správcovské rozhraní routeru i pro protokol SNMP, pokud ho používáte.

5. Oddělte domácí a firemní síť

Pokud máte pobočku nebo home office s levným routerem, ujistěte se, že tato zařízení nejsou ve stejné síti jako kritické firemní systémy. Jedno slabé místo může ohrozit celou infrastrukturu.

NIS2 pohled: tohle není jen technický problém

Zákon 264/2025 Sb. a prováděcí vyhlášky 408–412/2025 Sb. explicitně vyžadují:

  • Inventarizaci aktiv (ZoKB) – víte vůbec, jaké síťové prvky máte v organizaci?
  • Skenování zranitelností a evidenci nepodporovaných zařízení (§ 12 vyhlášky 410/2025 Sb.) – sledujete bezpečnostní chyby pro váš hardware? Máte v evidenci zařízení, která výrobce přestal podporovat?
  • Bezpečnost komunikačních sítí (§ 11 vyhlášky 410/2025 Sb.) – máte síť rozdělenou do segmentů a přehled o vzdálených připojeních?
  • Řízení dodavatelského řetězce (§ 9 vyhlášky 409/2025 Sb.) – máte přehled o úrovni zabezpečení svých dodavatelů?

Napadený router je přesně ten druh incidentu, na který NIS2 pamatuje. A pokud byste ho jako regulovaný subjekt přehlédli, mohlo by to mít dopad i na vaše povinné hlášení incidentů regulátorovi (NÚKIB).

Pointa

Fancy Bear nemusí mít přístup k vašim serverům. Stačí jim váš router.

Kybernetická bezpečnost dnes nezačíná firewallem ani pokročilým monitorovacím systémem – začíná síťovým prvkem, který stojí 600 Kč a nikdo ho léta neaktualizoval.

Pokud nevíte, v jakém stavu je vaše síťová infrastruktura nebo jak na ni nahlíží požadavky ZoKB, začněte analýzou mezer. Kraita Cyber One vám pomůže rychle zmapovat stav vaší organizace a identifikovat slabá místa dřív, než to udělá někdo jiný.

👉 Vyzkoušejte Kraita Cyber One – nezávazné demo

Zdroje: US Department of Justice (7. 4. 2026), TechCrunch, Bleeping Computer, Krebs on Security, The Hacker News, UK NCSC Advisory, Microsoft Threat Intelligence

Full name
David Martínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies