Amenințare asupra routerelor SOHO: ce a descoperit FBI și cum vă protejați rețeaua de acasă

Sursa foto: Cnet

Un atac coordonat atribuit unei unități din serviciul de informații militare ruse, GRU, a compromis mii de dispozitive de tip small-office/home-office (SOHO) și a vizat, în mod special, configurările DNS ale unor routere vechi, potențial permițând interceptarea traficului utilizatorilor. Autorități precum Federal Bureau of Investigation (FBI), Department of Justice și National Security Agency (NSA) au emis o avertizare comună pe 7 aprilie 2026, iar experți în securitate cibernetică și companii de tehnologie au confirmat amploarea operațiunii.

Ce a urmărit atacul și cine este responsabil

Conform anunțurilor oficiale, campania a fost concepută pentru a obține informații despre organizații militare, guvernamentale și infrastructuri critice prin preluarea controlului asupra cererilor de sistem de nume de domeniu (DNS). Operațiunea, cunoscută în cercurile de securitate drept o activitate de „preluare a DNS-ului”, a fost legată de actori asociați GRU, desemnați în literatură și prin nume precum APT28, Fancy Bear sau Forest Blizzard.

Microsoft Threat Intelligence estimează că atacul a afectat peste 200 de organizații și mai mult de 5.000 de dispozitive de consum, iar investigațiile indică faptul că campania a început cel puțin din 2024. Scopul principal raportat al actorilor a fost vizibilitatea persistentă și pasivă asupra traficului la scară largă, obținută prin modificarea configurațiilor implicite de rețea ale routerelor SOHO.

Ce tip de echipamente au fost vizate

Deși anunțurile oficiale indică faptul că atacul a compromis în primul rând routere folosite în medii enterprise, multe din aceste modele pot fi utilizate și ca routere de uz casnic. Prin urmare, utilizatorii obișnuiți sunt sfătuiți să verifice dacă modelul lor a fost vizat și să ia măsuri de securitate adecvate.

Un model menționat în mod explicit de FBI este TP‑Link TL‑WR841N, un dispozitiv Wi‑Fi 4 lansat inițial în 2007 și asociat cu vulnerabilitatea CVE‑2023‑50224. Centrul Național pentru Securitate Cibernetică al Regatului Unit a publicat o listă de 23 de modele TP‑Link identificate ca țintă posibilă, deși autoritățile avertizează că aceasta nu este neapărat exhaustivă.

Modelele identificate ca afectate

• Router LTE Wireless N TP‑Link MR6400
• Router dual band wireless gigabit TP‑Link Archer C5
• Router dual band wireless gigabit TP‑Link Archer C7
• Router dual band wireless gigabit TP‑Link WDR3600
• Router dual band wireless gigabit TP‑Link WDR4300
• Router dual band wireless TP‑Link WDR3500
• Router Wireless Lite N TP‑Link WR740N
• Router Wireless Lite N TP‑Link WR740N/WR741ND
• Router Wireless Lite N TP‑Link WR749N
• Router Wireless N 3G/4G TP‑Link MR3420
• Access point Wireless N TP‑Link WA801ND
• Access point Wireless N TP‑Link WA901ND
• Router gigabit Wireless N TP‑Link WR1043ND
• Router gigabit Wireless N TP‑Link WR1045ND
• Router Wireless N TP‑Link WR840N
• Router Wireless N TP‑Link WR841H
• Router Wireless N TP‑Link WR841N
• Router Wireless N TP‑Link WR841N/WR841ND
• Router Wireless N TP‑Link WR842N
• Router Wireless N TP‑Link WR842ND
• Router Wireless N TP‑Link WR845N
• Router Wireless N TP‑Link WR941ND
• Router Wireless N TP‑Link WR945NA

TP‑Link a declarat că modelele enumerate au ajuns la statutul End of Service and Life cu câțiva ani în urmă și că pentru unele modele mai vechi s‑au dezvoltat patch‑uri de securitate acolo unde acest lucru a fost tehnic fezabil. Compania recomandă înlocuirea echipamentelor depășite cu modele mai noi care primesc actualizări regulate de securitate și oferă o pagină de asistență unde sunt centralizate actualizările disponibile.

De ce reprezintă un risc un router nesecurizat

Routerul ocupă o poziție privilegiată în arhitectura oricărei rețele: tot traficul trece prin acest dispozitiv, ceea ce îl transformă într‑o poartă de acces strategică pentru un atacator care reușește să îi modifice setările. Potrivit experților citați în investigații, menținerea unor dispozitive fără actualizări de firmware este echivalentă cu lăsarea „ușii” rețelei neîncuiate.

Daniel Dos Santos, vicepreședinte al departamentului de cercetare din cadrul companiei de securitate Forescout, a subliniat existența unei tendințe generale de exploatare a routerelor atât de consum, cât și corporate. Rik Ferguson, vicepreședinte pentru inteligență în securitate la Forescout, a atras atenția asupra riscului crescut atunci când se ignoră actualizările: „Routerul se află într‑o poziție atât de privilegiată în orice rețea. Toată comunicarea, tot traficul, trebuie să treacă prin acel dispozitiv.”

Măsurile recomandate pentru protejarea routerului

Autoritățile și experții oferă o serie de recomandări practice pentru reducerea riscului în fața unor campanii de tipul celei descoperite. Câteva măsuri-cheie pe care le poate aplica orice utilizator sunt detaliate mai jos.

Pași concreți de securizare

• Actualizați firmware‑ul regulat: activați, dacă este posibil, actualizările automate de firmware sau verificați manual existența unor update‑uri prin interfața web a routerului sau aplicația producătorului.
• Reporniți periodic routerul: recomandarea NSA este de a reporni routerul, smartphone‑urile și computerele cel puțin o dată pe săptămână pentru a elimina implanturile și a restabili securitatea.
• Schimbați numele de utilizator și parola implicite: mulți atacatori exploatează combinațiile setate din fabrică; utilizați parole lungi și aleatorii și schimbați parola Wi‑Fi la intervale regulate, de exemplu la fiecare șase luni.
• Dezactivați gestionarea de la distanță: majoritatea utilizatorilor nu au nevoie de această funcție, iar dezactivarea ei reduce posibilitatea ca un atacator să modifice setările routerului fără știrea utilizatorului.
• Folosiți VPN pentru acces la resurse sensibile: FBI recomandă organizațiilor cu angajați care lucrează de la distanță să utilizeze un serviciu VPN pentru a cripta traficul atunci când sunt accesate date sensibile.

Pe lângă aceste măsuri, agențiile de securitate au pus la dispoziție ghiduri și bune practici pentru configurarea unei rețele de acasă în mod securizat. NSA a revizuit și publicat o serie de recomandări pentru securizarea rețelelor casnice, iar organizațiile și utilizatorii finali sunt încurajați să le urmeze pentru a reduce riscul intruziunilor.

Ce pot face proprietarii de echipamente vizate

Dacă dețineți unul din modelele enumerate sau un router care nu mai primește actualizări de firmware, cea mai sigură opțiune este înlocuirea dispozitivului cu un model modern, care beneficiază de suport și actualizări de securitate. În cazul în care nu puteți înlocui imediat echipamentul, aplicați toate celelalte măsuri recomandate: actualizări atunci când sunt disponibile, schimbarea parolelor implicite, dezactivarea managementului la distanță și reporniri regulate.

TP‑Link a publicat o listă a patch‑urilor disponibile și a explicat că a dezvoltat actualizări pentru anumite modele legacy atunci când a fost tehnic posibil. Informațiile despre patch‑uri pot fi consultate pe pagina oficială de asistență a producătorului.

Ce rămâne de urmărit

Investigațiile asupra acestei campanii continuă, iar colaborarea dintre agențiile de aplicare a legii, instituțiile de securitate națională și firmele private va rămâne esențială pentru identificarea și neutralizarea amenințărilor. În timp ce atacurile care vizează infrastructura de rețea continuă să evolueze, menținerea igienei de bază a routerelor și adoptarea unor dispozitive susținute cu actualizări regulate rămân cele mai eficiente bariere pentru utilizatorul obișnuit.

Pentru detalii suplimentare, puteți consulta anunțul comun al agențiilor implicate și pagina de asistență a TP‑Link:

Anunțul comun al agențiilor (PDF)

Pagina de asistență TP‑Link privind actualizările de securitate