NÚKIB varuje: Routery TP-Link napadla ruská skupina APT28: Nejvíc ohrožena jsou zařízení s výchozím heslem

Bezpečnostní instituce po celém světě varují před rozsáhlou kampaní zaměřenou na síťová zařízení značky TP-Link. Za útoky stojí skupina napojená na ruskou vojenskou rozvědku, která zneužívá známé zranitelnosti a přebírá kontrolu nad zařízeními i v Česku.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se operace dotkla desítek tisíc routerů po celém světě, včetně těch tuzemských. (Zdroj: https://nukib.gov.cz/cs/infoservis/aktuality/2394-routery-tp-link-kompromitovany-ruskym-statnim-akterem-apt28/) Útočníci cílí hlavně na starší modely bez podpory, nebo velmi slabě zabezpečené. Právě kombinace zastaralého softwaru a slabé konfigurace z nich dělá snadný cíl.

Ruská GRU

Za kampaní stojí skupina APT28, známá také jako Fancy Bear, dlouhodobě spojovaná s ruskou rozvědkou GRU. Zaměřuje se především na špionáž a snahu udržet si dlouhodobý přístup do napadených sítí.

Útočníci využívají známé bezpečnostní chyby a často i výchozí nebo slabá hesla. Jakmile se do zařízení dostanou, mohou:

• upravit konfiguraci routeru
• přesměrovávat síťový provoz
• vytvořit skryté přístupy do sítě
• zapojit zařízení do širší infrastruktury pro další útoky

V tomto konkrétním případě útočníci využili jedné konkrétní zranitelnosti v softwaru routerů a přístupových bodů. Ta jim umožnila zachytávat komunikaci, krást hesla a získat například obsah e-mailových zpráv. Byť se zaměřovali primárně na vládní a vojenskou infrastrukturu, kompromitována byla i zařízení běžných uživatelů, včetně těch v Česku.

Problémem těchto útoků je především jejich nenápadnost. Uživatel si nevšimne ani zpomaleného internetu či nespolehlivého připojení. I po napadení vše bez problémů funguje dál. Data ale díky upravené konfiguraci routerů tečou skrz servery útočníků, kde je mohou dále zneužívat.

Odebírejte náš 🚨 Spotřebitelský radar

Exkluzivní obsah, slevy, soutěže, testy a výhodné nabídky. Vybráno naší redakcí, každý den na váš e-mail. Pro první odběratele zdarma, využijte toho!

Odebírat

Posíláme jen to, co stojí za to. Řídíme se zásadami ochrany soukromí.

Díky, že čtete arecenze.cz

Jsme tým nadšenců, kteří tvoří obsah o všem, co má přímý dopad na peněženku nebo praktický život běžného Čecha — co koupit, jak ušetřit, čemu se vyhnout a kolik zaplatíte.

Klikněte a odebírejte naše články z boxíku na domovské stránce Seznam.cz

Foto: Oficiální materiály distributora

Jeden z routerů, na který se útočníci ve velkém zaměřili: TP-Link TL-WR841N.

Které modely jsou ohrožené

Varování se týká hlavně starších routerů TP-Link, které už nedostávají bezpečnostní aktualizace. Často jde o zařízení ponechaná v původním nastavení. Mnohé z nich jsou v novějších revizích stále dostupné v českých e-shopech. NÚKIB doporučuje zkontrolovat konkrétní model a porovnat ho se seznamem ohrožených zařízení. Pokud se shoduje, je na místě router odpojit nebo rovnou nahradit. Přesný typ routeru najdete na štítku nejčastěji na spodní straně. Stejně tak zde najdete i číslo tzv. revize. Používáte-li některý z následujících modelů, urychleně jej vyměňte:

• TP-Link WDR3600
• TP-Link WDR4300
• TP-Link WDR3500
• TP-Link WR740N
• TP-Link WR749N
• TP-Link WR1043ND
• TP-Link WR1045ND
• TP-Link WR840N
• TP-Link WR841HP
• TP-Link WR841N
• TP-Link WR842N
• TP-Link WR842ND
• TP-Link WR845N
• TP-Link WR941ND
• TP-Link WR945N
• TP-Link MR6400
• TP-Link MR3420

Dlouhodobý problém levné infrastruktury

Celý případ znovu ukazuje slabé místo levných síťových zařízení. Uživatelé často routery a další síťové prvky zprovozní a dál se o ně nikdo nestará. Dlouhé roky fungují bez aktualizací i kontroly jejich stavu. V nejhorších případech fungují i s výchozími přihlašovacími údaji do jejich konfiguračního rozhraní. Pro potenciální útočníky tak není sebemenším problémem jejich napadení.

Zdroje: Autorská tvorba redaktora Arecenze, https://nukib.gov.cz/cs/infoservis/aktuality/2394-routery-tp-link-kompromitovany-ruskym-statnim-akterem-apt28/