Ruská APT28 zneužívá domácí routery. DNS únosy umožnily tichý sběr přihlašovacích údajů

Routery jako přehlížený vstupní bod

Skupina APT28 (Forest Blizzard), dlouhodobě spojovaná s ruskou vojenskou rozvědkou GRU, zneužila slabě zabezpečené SOHO routery značek MikroTik a TP-Link k vytvoření vlastní infrastruktury pro kybernetickou špionáž.

Kampaň označená jako FrostArmada běží podle zjištění bezpečnostních týmů minimálně od května 2025. Útočníci se v ní zaměřují na zařízení na okraji sítě, která bývají často špatně spravovaná a dlouhodobě neaktualizovaná.

Přesměrování DNS jako základ útoku

Princip útoku stojí na změně DNS konfigurace přímo v kompromitovaném routeru. Jakmile útočník získá administrátorský přístup, nastaví zařízení tak, aby všechny DNS dotazy směřovaly na servery pod jeho kontrolou.

Ve chvíli, kdy uživatel přistupuje například k e-mailu nebo přihlašovací stránce, odpověď DNS může být podvržená. Uživatel je pak bez zjevného varování přesměrován na infrastrukturu útočníka.

Útok, který není vidět

Zásadní vlastností této kampaně je její nenápadnost. Útoky typu Adversary-in-the-Middle (AitM) probíhají bez nutnosti interakce ze strany oběti. Nevyžadují kliknutí na odkaz ani otevření přílohy.

Útočník může zachytit přihlašovací údaje, OAuth tokeny i další citlivá data, aniž by uživatel zaznamenal jakýkoliv problém. Služby přitom často fungují zdánlivě normálně.

Desítky tisíc zařízení po celém světě

Kampaň postupně narostla do globálních rozměrů. V prosinci 2025 bylo evidováno více než 18 000 unikátních IP adres napříč nejméně 120 zeměmi, které komunikovaly s infrastrukturou útočníků.

Microsoft zároveň identifikoval přes 200 zasažených organizací a tisíce koncových zařízení. Cílem byly především vládní instituce, bezpečnostní složky a poskytovatelé e-mailových a cloudových služeb.

Zneužití známých slabin

V případě routerů TP-Link WR841N útočníci mimo jiné zneužívali zranitelnost CVE-2023-50224, která umožňuje obejít autentizaci a získat uložené přihlašovací údaje pomocí speciálně upravených HTTP požadavků.

Po převzetí kontroly nad zařízením dochází ke změně DNS nastavení a následnému výběru „zajímavých“ cílů. Ne každý provoz je aktivně zneužit – útočníci si z velkého množství dat vybírají konkrétní oběti s vyšší zpravodajskou hodnotou.

Podle amerického ministerstva spravedlnosti byly tyto operace spojeny s jednotkou GRU 26165.

Zásah proti infrastruktuře

Část infrastruktury byla narušena v rámci mezinárodní operace označené jako Operation Masquerade, na které se podílely americké úřady spolu s dalšími partnery.

Cílem bylo odstavit servery používané pro přesměrování DNS a omezit schopnost útočníků provádět další operace.

Posun v taktice

Podle Microsoftu jde o první případ, kdy byla tato skupina pozorována při využití DNS hijackingu ve velkém měřítku pro útoky typu AitM i v kontextu šifrované komunikace.

Z pohledu obrany je zásadní hlavně změna přístupu. Útočníci neútočí přímo na cílovou organizaci, ale na infrastrukturu, která stojí před ní. Router se tak stává prostředníkem, přes který lze dlouhodobě sledovat provoz a získávat přístupové údaje.

Kampaň ukazuje, jak velkou roli dnes hrají zdánlivě nenápadná zařízení na okraji sítě. Router, který zůstane bez aktualizace a kontroly, se může snadno stát vstupním bodem do celé organizace.

APT28 v tomto případě nevsadila na složitý malware, ale na kombinaci známých zranitelností a chytré manipulace síťového provozu. Výsledkem je útok, který je tichý, škálovatelný a velmi obtížně odhalitelný.