Ruská hackerská skupina APT28 napojená na vojenskú rozviedku GRU zneužila viac ako 18 000 domácich routerov v 120 krajinách na odpočúvanie šifrovanej komunikácie ministerstiev, armád a bezpečnostných zložiek. Medzinárodná operácia za účasti 15 krajín vrátane Česka infraštruktúru útočníkov v apríli 2026 zneškodnila.
DNS ako nástroj útoku
DNS (Domain Name System) funguje ako telefónny zoznam internetu. Prekladá webové adresy, ktoré ľudia zadávajú do prehliadača, na číselné IP adresy zrozumiteľné pre počítače. Každá požiadavka na webovú stránku najprv prejde cez DNS server. Ak útočník ovládne tento server, dokáže obeť presmerovať na podvodnú stránku. Obeť pritom nepozná rozdiel.
Presne tento princíp využila skupina APT28, známa aj ako Fancy Bear alebo Forest Blizzard. Podlieha ruskej vojenskej rozviedke GRU, konkrétne Military Unit 26165. Jej novým nástrojom sa stali lacné domáce routery.
Kampaň FrostArmada a tisíce routerov
Operácia začala v obmedzenom rozsahu už v máji 2025. Do plnej akcie prešla v auguste toho istého roku. Výskumníci z Black Lotus Labs, čo je divízia spoločnosti Lumen Technologies, ju pomenovali FrostArmada. Útočníci sa zamerali predovšetkým na routery TP-Link WR841N, pričom zneužívali bezpečnostnú chybu CVE-2023-50224. Ide o obídenie autentifikácie s hodnotením závažnosti CVSS 6,5, ktoré umožňovalo získať prístup k nastaveniu zariadenia bez hesla.
Po preniknutí do routera útočníci zmenili DNS resolver na vlastný server pod kontrolou GRU. Do decembra 2025 komunikovalo s infraštruktúrou APT28 vyše 18 000 unikátnych IP adries zo 120 krajín. Druhotným cieľom boli routery MikroTik, najmä na území Ukrajiny.
Priebeh útoku bez interakcie obete
Princíp bol jednoduchý. Celý útok nevyžadoval od obete žiadnu interakciu, žiadne klikanie na phishingové odkazy ani sťahovanie príloh. Stačilo sa prihlásiť do práce cez web. Automatizovaný filtrovací systém následne triedil zachytenú prevádzku a rozhodoval, ktoré ciele sú dostatočne zaujímavé pre hlbšie spracovanie.
Prioritou boli ministerstvá zahraničných vecí, orgány činné v trestnom konaní, armádne organizácie a poskytovatelia e-mailových služieb. Geograficky sa útok sústredil na severnú Afriku, strednú Ameriku, juhovýchodnú Áziu a Európu.
Prečo práve domáce routery
Štátni hackeri si dávno uvedomili, že vlastná infraštruktúra zanecháva stopy. Domáce routery sú ich opakom. Majitelia ich takmer nikdy neaktualizujú, ponechávajú na nich slabé alebo predvolené heslá a nikto ich systematicky nemonitoruje. Pre útočníka predstavujú lacnú, decentralizovanú a prakticky anonymnú základňu.
Britské Národné centrum pre kybernetickú bezpečnosť (NCSC) útok opísalo ako oportunistický. Najprv sa získal prehľad o obrovskom množstve kandidátov na obete, ktorí sa potom postupne filtrovali na strategicky najcennejšie ciele.
Microsoft vo svojej analýze zdôraznil, že ide o vôbec prvý zaznamenaný prípad, keď APT28 použila DNS hijacking vo veľkom meradle na sprostredkovanie útokov typu AitM (Adversary-in-the-Middle) na šifrované TLS spojenie cez kompromitované koncové zariadenia. Celkovo bolo identifikovaných viac ako 200 zasiahnutých organizácií a 5 000 spotrebiteľských zariadení.
Operácia Masquerade, globálny protiúder
Americké ministerstvo spravodlivosti v spolupráci s FBI a partnermi z 15 krajín uskutočnilo v apríli 2026 koordinovaný zásah s názvom Operation Masquerade. Súd pre východný obvod Pensylvánie vydal povolenie na technickú operáciu.
FBI vyvinula sadu príkazov, ktoré boli zaslané kompromitovaným routerom na území USA. Príkazy vykonali tri veci: zhromaždili dôkazy o aktivite GRU, resetovali DNS nastavenia na legitímne servery poskytovateľov internetu a zablokovali pôvodný prístupový vektor útočníkov. Bežná funkčnosť routerov pritom nebola narušená, legitímni používatelia môžu nastavenia kedykoľvek obnoviť továrnym resetom. Varovanie súčasne vydali Nemecko, Veľká Británia a ďalší spojenci. Ruská ambasáda vo Washingtone odmietla akciu komentovať.
Česká účasť na operácii
Do operácie Masquerade sa aktívne zapojilo aj české Vojenské spravodajstvo (VZ). V priebehu marca 2026 uskutočnilo aktívny zásah v kybernetickom priestore. Konkrétne upravilo nastavenia časti globálne zneužívanej infraštruktúry a zabezpečilo potenciálne ohrozené zariadenia na území Českej republiky.
Kompromitované zariadenia APT28 využívala na zber informácií proti vojenským a vládnym cieľom v Česku aj u spojencov v NATO a EÚ. Ide o jeden z prvých verejne potvrdených prípadov, keď Česká republika vykonala ofenzívny kybernetický zásah v rámci medzinárodnej koalície. Zákon o Vojenskom spravodajstve takéto aktívne operácie v kybernetickom priestore umožňuje.
