Ruská vojenská zpravodajská skupina napadla tisíce domácích routerů a použila je k odcizení přihlašovacích tokenů z Microsoft Office. Celá operace přitom nepoužila ani jeden virus — útočníci si vystačili se změnou DNS nastavení.
Za útokem stojí skupina označovaná jako Forest Blizzard, jinak také APT28 nebo Fancy Bear. Jde o hackery napojené na ruskou vojenskou rozvědku GRU, kteří jsou známí z řady špionážních operací — včetně kybernetických útoků na americké volby v roce 2016. Tentokrát ale zvolili méně nápadnou taktiku.
Útočníci nevnikali do počítačů přes škodlivý software. Místo toho vyhledali starší routery — zejména modely MikroTik a TP-Link — a změnili v nich nastavení DNS serverů. DNS je systém, který překládá adresy jako „office.com“ na číselné adresy serverů. Pokud útočník DNS ovládá, může uživatele přesměrovat na vlastní server, aniž by si toho uživatel všiml. Výsledkem bylo, že uživatelé zadávali přihlašovací údaje do Microsoftu — ale jejich autentizační tokeny putovaly k útočníkům. Token je digitální „klíč“, který přihlašovací systém vydá po úspěšném přihlášení. Útočníci ho pak mohli znovu použít k přístupu k účtu bez nutnosti znát heslo nebo obejít dvoufaktorové ověření.
V době vrcholu aktivity — v prosinci 2025 — skupina ovládala přes 18 000 routerů ve více než 200 organizacích. Mezi cíle patřily zejména vládní agentury, ministerstva zahraničních věcí a bezpečnostní složky. Útok se přitom šířil automaticky: router infikoval celou vnitřní síť prostřednictvím protokolu DHCP, který přiděluje adresám DNS nastavení pro všechna připojená zařízení.
Česká republika je útokům tohoto typu přinejmenším stejně vystavena jako ostatní evropské země. Starší routery bez aktualizací firmware jsou běžné jak v domácnostech, tak ve školách. Pokud router nikdo aktivně nespravuje, může sloužit jako tichý prostředník pro odposlech bez toho, aby si toho kdokoli všiml.
Praktický tip: Zkontrolujte, zda váš router používá originální DNS servery poskytovatele internetu — nikoliv neznámé adresy. Pokud nevíte jak, požádejte správce sítě nebo se podívejte do manuálu routeru. Stejně tak zkontrolujte, zda je firmware routeru aktuální. Výrobci vydávají aktualizace právě proto, aby záplatovali chyby, které útočníci zneužívají.
Tento případ ukazuje, že riziko nemusí vždy přicházet jako příloha e-mailu — někdy stačí zranitelný router, který nikdo roky neaktualizoval.
Zdroj: Krebs on Security