Co je DNS a proč na tom záleží?
Než se dostaneme k samotné operaci, rychlá připomínka: DNS (Domain Name System) je systém, který překládá lidsky čitelné adresy webů (třeba outlook.com) na IP adresy, se kterými pracují počítače. Každý dotaz na webovou stránku nejprve projde přes DNS server. Pokud útočník ovládne DNS server, může přesměrovat oběť na vlastní podvodnou stránku – a oběť to nepozná.
Právě tohoto principu využila skupina APT28, také známá jako Fancy Bear, Forest Blizzard nebo Sofacy. Jde o elitní hackerskou skupinu podřízenou ruskému vojenskému zpravodajství GRU, konkrétně Military Unit 26165. Její nový nástroj? Levné domácí routery.
Zdroj: Vojenské zpravodajství
Kampaň FrostArmada: Útok přes tisíce routerů
Operace začala už v květnu 2025 v omezeném rozsahu. V srpnu 2025 přešla do plné akce. Výzkumníci z Black Lotus Labs (divize společnosti Lumen Technologies) ji pojmenovali FrostArmada. Útočníci se zaměřili především na routery TP-Link WR841N. Využívali bezpečnostní chybu označenou CVE-2023-50224 – autentifikační bypass s hodnocením CVSS 6.5, který umožňoval bez hesla získat přístup k nastavení zařízení. Jakmile se do routeru dostali, změnili DNS resolver na vlastní server pod kontrolou GRU.
V prosinci 2025 už komunikovalo s infrastrukturou APT28 přes 18 000 unikátních IP adres ze 120 zemí. Druhým cílem vedle TP-Linků byly routery MikroTik, zejména na území Ukrajiny.
Mohlo by vás zajímat
Jak útok FrostArmada probíhal?
Princip byl překvapivě jednoduchý – a o to nebezpečnější:
-
1
Útočníci získali přístup k routeru a přepsali jeho nastavení DNS.
-
2
Když uživatel v síti za takovým routerem zadal adresu například Microsoft Outlook Web Access, router poslal DNS dotaz na server GRU místo legitimního resolveru.
-
3
GRU server odpověděl podvodnou IP adresou – adresou vlastního „adversary-in-the-middle“ (AitM) serveru.
-
4
Uživatel skončil na falešné přihlašovací stránce, která vypadala věrohodně.
-
5
Útočníci zachytili přihlašovací údaje, OAuth tokeny a e-maily.
Celý útok nevyžadoval od oběti žádnou interakci – žádné klikání na phishingové odkazy, žádné stahování příloh. Stačilo se přihlásit do práce přes web.
Automatizovaný filtrovací systém pak třídil zachycený provoz a rozhodoval, které cíle jsou dostatečně zajímavé pro hlubší zpracování. Prioritou byla ministerstva zahraničních věcí, orgány činné v trestním řízení, armádní organizace a poskytovatelé e-mailových služeb v Severní Africe, Střední Americe, jihovýchodní Asii a Evropě.
Mohlo by vás zajímat
Proč routery a proč doma?
Státní hackeři si dávno uvědomili, že vlastní infrastruktura je stopou. Domácí routery jsou naopak ideální: jejich majitelé je téměř nikdy neaktualizují, mají slabá nebo výchozí hesla a nikdo je zásadně nemonitoruje. Pro útočníka jsou levnou, decentralizovanou a prakticky anonymní základnou.
Jak popsalo britské Národní centrum pro kybernetickou bezpečnost (NCSC): útok byl oportunistický – nejprve se získal přehled o obrovském množství kandidátů na oběti, kteří se pak postupně filtrovali na ty strategicky nejcennější.
Microsoft ve svém rozboru zdůraznil, že jde o vůbec první zaznamenaný případ, kdy APT28 použila DNS hijacking ve velkém měřítku ke zprostředkování AitM útoků na šifrované TLS spojení přes kompromitovaná koncová zařízení. Celkově bylo identifikováno více než 200 zasažených organizací a 5 000 spotřebitelských zařízení.
Mohlo by vás zajímat
Operation Masquerade: globální protiúder
Americké ministerstvo spravedlnosti (DoJ) ve spolupráci s FBI a partnery z 15 zemí provedlo v dubnu 2026 koordinovaný zásah, který dostal název Operation Masquerade. Soud pro východní obvod Pensylvánie vydal povolení k technické operaci.
FBI vyvinula sadu příkazů, které byly zaslány kompromitovaným routerům na území USA. Příkazy provedly tři věci: shromáždily důkazy o aktivitě GRU, resetovaly DNS nastavení na legitimní servery poskytovatelů internetu a zablokovaly původní přístupový vektor útočníků. Běžná funkčnost routerů přitom nebyla narušena a legitimní uživatelé mohou nastavení kdykoliv obnovit továrním resetem. Zároveň vydali varování Německo, Velká Británie a další spojenci. Ruská ambasáda ve Washingtonu odmítla akci komentovat.
Mohlo by vás zajímat
Česká stopa: Vojenské zpravodajství v akci
A zde přichází část příběhu, která v mezinárodním zpravodajství trochu zapadla. Do operace Masquerade se aktivně zapojilo i české Vojenské zpravodajství (VZ). V průběhu března 2026 provedlo VZ aktivní zásah v kyberprostoru – konkrétně upravilo nastavení části globálně zneužívané infrastruktury a zabezpečilo potenciálně ohrožená zařízení na území České republiky.
Kompromitovaná zařízení přitom APT28 využívala ke sběru informací proti vojenským a vládním cílům v ČR i u našich spojenců v NATO a EU.
Zapojení VZ je v mnoha ohledech přelomové. Jde o jeden z prvních veřejně potvrzených případů, kdy Česká republika provedla ofenzivní kybernetický zásah v rámci mezinárodní koalice. Zákon o Vojenském zpravodajství takové aktivní operace v kyberprostoru umožňuje a tento případ je jejich praktickou ukázkou.
Poučení? I váš router může být zbraní
Závěr operace je jasný – technicky. Ale hrozba zůstává. APT28 ani podobné skupiny nezmizely. Routery v domácnostech a malých firmách jsou nadále slabým článkem.
Základní kroky, které by měl udělat každý:
- Nahradit routery, které výrobce již nepodporuje (tzv. End-of-Life zařízení)
- Aktualizovat firmware na nejnovější verzi
- Ověřit, jaké DNS resolvery router používá (a zda jsou legitimní)
- Zakázat vzdálenou správu routeru z internetu, pokud ji nepotřebujete
- Změnit výchozí přihlašovací heslo
Jak to shrnulo české Vojenské zpravodajství: nezabezpečené domácí zařízení se může stát článkem řetězce, skrze který je útočeno na kritickou infrastrukturu nebo státní správu. Bezpečnost státu začíná u každého připojeného zařízení.
Zdroj: X, Vojenské zpravodajství, Reuters, The hacker news, justice
7 foto
