Menu

NÚKIB varuje: Vzdálenou správu v routeru musíte vypnout. Ruská skupina APT28 ovládla tisíce domácích routerů i v Česku

Petr Pavelka
Odebírat články Odebírat články
NÚKIB varuje: Vzdálenou správu v routeru musíte vypnout. Ruská skupina APT28 ovládla tisíce domácích routerů i v Česku
V sadě najdete vše od antény po router

Router doma většina lidí jednou zapojí a roky se ho už nedotkne. Mezitím v něm ale klidně může běžet funkce, která vystavuje přihlašovací stránku celému internetu. Říká se jí vzdálená správa a u některých přístrojů je ve výchozím nastavení zapnutá. Útočník pak nepotřebuje vaši Wi-Fi, stačí mu adresa vašeho připojení.

Většina routerů má funkci, která vás z bezpečí domácí sítě vyhodí

Administrátorské rozhraní routeru bývá normálně dostupné jen z domácí sítě. Spouští se po zadání lokální adresy do prohlížeče (typicky 192.168.1.1, 192.168.0.1 nebo 10.0.0.1) a u většiny modelů ji najdete vytištěnou na spodním štítku přístroje vedle továrního hesla.

Když ale výrobce nebo poskytovatel připojení nechá zapnutou položku Remote Management, Remote Administration, Web Access from WAN nebo cokoli s podobným názvem, router začne přihlašovací stránku nabízet i z internetu. Útočník pak nepotřebuje být ve vaší síti, stačí mu znát veřejnou IP adresu a kliknout rovnou do přihlašovacího okna.

Za tím rozhraním přitom sedí kompletní mozek vaší sítě – Wi-Fi heslo, firewall, seznam připojených zařízení. Útočník tedy nesahá na okrajovou položku v menu, dostává se rovnou ke klíčům od bytu.

Útok na české routery zazněl letos jasně

V dubnu 2026 NÚKIB veřejně varoval, že ruská hackerská skupina APT28 (známá také jako Fancy Bear) systematicky napadala domácí a malé firemní routery i v České republice. Detailněji jsme tuhle kauzu rozebrali v samostatném článku o varování NÚKIB. Vstupními branami byly zranitelnost CVE-2023-50224 v modelu TP-Link TL-WR841N a hlavně výchozí, nikdy neměněná administrátorská hesla.

Odebírejte náš 🚨 Spotřebitelský radar

Exkluzivní obsah, slevy, soutěže, testy a výhodné nabídky. Vybráno naší redakcí, každý den na váš e-mail. Pro první odběratele zdarma, využijte toho!

Posíláme jen to, co stojí za to. Řídíme se zásadami ochrany soukromí.

Díky, že čtete arecenze.cz

Jsme tým nadšenců, kteří tvoří obsah o všem, co má přímý dopad na peněženku nebo praktický život běžného Čecha — co koupit, jak ušetřit, čemu se vyhnout a kolik zaplatíte.

Klikněte a odebírejte naše články z boxíku na domovské stránce Seznam.cz

Útočníci na napadených zařízeních přepsali nastavení DNS. Provoz uživatelů přesměrovali přes vlastní servery, četli si e-maily a kradli přihlašovací údaje. U některých obětí dokonce přes podvržené certifikáty zachytili i šifrovanou komunikaci. V prohlížeči taková manipulace zazní varováním o neplatném certifikátu, které je důležité nikdy neproklikávat. NÚKIB doporučuje změnit hesla, vypnout vzdálenou správu z internetu a nainstalovat aktuální firmware.

Zkouška z mobilu: jak poznat, že router pouští útočníky

Připojte se k domácí Wi-Fi a otevřete administrátorskou stránku routeru. Hledáte zaškrtnutí u položek typu Remote Management, Remote Access nebo Web Access from WAN, většinou je najdete v pokročilých nastaveních nebo v sekci o WAN připojení. Pokud některou z nich uvidíte zapnutou a sami jste si ji nezapínali, máte řešení přímo před sebou.

Existuje i druhá zkouška, kterou popisuje How-To Geek, a zvládnete ji z mobilu.

Pětiminutová diagnostika z mobilu:

  • Doma na Wi-Fi si vyhledejte „moje ip“ v Googlu a poznamenejte si veřejnou IP adresu.
  • V telefonu odpojte Wi-Fi a přepněte se na mobilní data.
  • Tuhle IP vložte do mobilního prohlížeče.
  • Pokud se ozve přihlašovací okno routeru, dveře dovnitř má kdokoli z internetu.
  • Vraťte se na Wi-Fi a v administrátorském menu funkci deaktivujte.

Pozor na falešné jistoty. Posunout přihlašovací stránku na netypický port nestačí, automatizovaní boti dnes projedou všechny porty během chvíle. Whitelist konkrétní IP funguje jen u pokročilých uživatelů s pevnou adresou. Pro běžnou domácnost zůstává spolehlivým krokem úplné vypnutí.

Když máte podezření, že router už padl

Pokud test z mobilu naskočil nebo si všimnete pomalých odezev a neznámých zařízení v seznamu klientů, neřešte to drobnou úpravou nastavení. Proveďte tovární reset routeru, znova ho nakonfigurujte s novým silným heslem a aktualizovaným firmwarem a v ručním nastavení DNS si nastavte ověřené servery. Souběžně doporučujeme změnit hesla i ke všem důležitým službám, do kterých jste se přes Wi-Fi přihlašovali, protože útočník mohl jejich přihlašovací údaje mít už zachycené.

Další nastavení, která stojí za půlhodinu času

Vypnutí vzdálené správy je dobrý začátek, router ale umí pár dalších věcí, kterým stojí za to věnovat čas. Začněte aktualizací firmwaru – výrobci opravují bezpečnostní chyby průběžně, stažení patchu je ale na vás. NÚKIB v kauze APT28 navíc upozornil, že u zařízení po konci podpory už opravy nepřicházejí a router nezbývá než vyměnit.

Hned vedle vypněte WPS, pokud se k Wi-Fi obvykle připojujete heslem. Tlačítkové párování ušetří pár vteřin, otevírá ale do sítě další dveře.

UPnP umí samo otevírat porty mezi zařízeními a internetem a v podstatě tím obchází firewall. Pokud nemáte herní konzoli ani zařízení pro videohovory, které ji vyžaduje, je bezpečnější ji deaktivovat.

Projděte také seznam pravidel port forwardingu a smažte staré položky po dávno odpojených kamerách nebo hrách. A na úplný závěr přijde nejjednodušší krok: změna výchozího administrátorského hesla. Útočníci o něj útok primárně opírají, protože obrovská část domácností ho nikdy nemění.

VPN jako bezpečná cesta pro správce

Skupina lidí, kteří vzdálenou správu reálně potřebují, není velká: správci sítí, IT pracovníci a provozovatelé domácích serverů s konkrétním účelem. Pro běžnou domácnost zůstává správné nastavení jednoduché: funkci nechte vypnutou.

Když přístup do routeru z dálky opravdu potřebujete, nastavte si na něm VPN. Modernější rozhraní routerů typicky nabízejí přímo OpenVPN nebo WireGuard server a do telefonu si stáhnete klientský profil. Stejnou logiku se vyplatí aplikovat i na domácí kameru, síťový disk nebo chytré zásuvky: místo otevírání portů ven raději pustit veškerou domácí komunikaci jen přes VPN tunel. Pohodlí zůstane, riziko klesne na zlomek.

Zdroje: Autorský text, https://nukib.gov.cz/cs/infoservis/aktuality/2394-routery-tp-link-kompromitovany-ruskym-statnim-akterem-apt28/, https://smartmania.cz/rusove-utoci-na-domaci-wi-fi-routery-zkontrolujte-jestli-nemate-tenhle-radi-nukib/, https://us.norton.com/blog/wifi/what-is-upnp, http://www.internetprovsechny.cz/chrante-sve-wifi-routery-zabezpecte-si-sit/, https://www.howtogeek.com/your-home-network-has-a-secret-front-door-that-is-probably-wide-open-to-the-internet/

Vybíráme spotřebitelské video týdne: Video se přehraje po reklamě.
Google News Sledujte nás v Google zprávách
Přidat na Seznam.cz

Rubriky

Přečtěte si také

Diskuze, komentáře a vaše zkušenosti

Podělte se o svůj názor, dotaz a poraďte ostatním v moderované diskuzi.
Zveřejňujeme každý slušný a přínosný komentář.