GRU przejęło kontrolę nad routerami TP-Link. Szpiegowali w Polsce i USA

Krzysztof Sulikowski

Krzysztof Sulikowski

Tysiące routerów Wi-Fi firm TP-Link i MikroTik w domach i biurach przez lata działały pod kontrolą rosyjskiego wywiadu wojskowego GRU, a użytkownicy nie widzieli żadnych oznak. Dopiero 7 kwietnia ujawniła to skoordynowana, międzynarodowa "Operation Masquerade" kierowana przez FBI, Departament Sprawiedliwości USA, NSA oraz partnerów z 15 krajów. Akcja z udziałem Microsoft doprowadziła do rozbicia potężnej, ukrytej sieci ponad 18 tys. zainfekowanych urządzeń w 120 krajach, w tym USA i Polsce. Szpiegowała je jednostka GRU 26165. Wykryto także nowy botnet od FSB. FBI zaleca teraz, co robić.

Tysiące routerów domowych i firmowych przez lata działały pod dyktando hakerów rosyjskiego GRU
Tysiące routerów domowych i firmowych przez lata działały pod dyktando hakerów rosyjskiego GRU123RF/PICSEL

W skrócie

  • Routery TP-Link i MikroTik były przez lata pod kontrolą rosyjskiego wywiadu GRU, a użytkownicy nie byli tego świadomi.
  • Międzynarodowa akcja "Operation Masquerade" ujawniła i rozbiła sieć ponad 18 tys. zainfekowanych urządzeń w 120 krajach, w tym w Polsce i USA.
  • Oprócz działań GRU wykryto również zagrożenie botnetem Kazuar powiązanym z FSB, który atakuje instytucje w Europie, Azji Centralnej i Ukrainie.
  • Więcej podobnych informacji znajdziesz na stronie głównej serwisu, otwiera się w nowym oknie

GRU inwigilowało użytkowników routerów TP-Link i MikroTik. Na celowniku była Polska

Jak ustaliło FBI, Departament Sprawiedliwości USA, NSA oraz partnerzy z 15 krajów, rosyjska jednostka wywiadu wojskowego GRU 26165, znana w świecie cyberbezpieczeństwa jako APT28, Fancy Bear lub Forest Blizzard, od sierpnia 2025 r. (a według ustaleń FBI nawet od 2024 r.) masowo przejmowała kontrolę nad routerami marek TP-Link i MikroTik. W szczytowym momencie, w grudniu 2025 r., sieć ta liczyła ponad 18 tys. urządzeń w co najmniej 120 krajach. Microsoft Threat Intelligence w samych Stanach Zjednoczonych zidentyfikował ponad 200 poszkodowanych organizacji i co najmniej 5 tys. urządzeń konsumenckich w 23 stanach.

Ujawnienie tych ataków na masową skalę było możliwe dzięki międzynarodowej akcji "Operation Masquerade". Część ekspertów zakładała, że Rosjanie włamywali się głównie na routery korporacyjne, ale odkryto, że wiele z nich pełni funkcje standardowych urządzeń domowych. Cyberprzestępcy wykorzystywali lukę w zabezpieczeniach CVE-2023-50224 (błąd uwierzytelniania w modelu TP-Link TL-WR841N), aby uzyskać uprawnienia administratora.

Atak polegał na tzw. porwaniu DNS (ang. DNS hijacking - Domain Name System). Oznacza to, że po zmianie domyślnych ustawień sieciowych zapytania DNS były przekierowywane na serwery kontrolowane przez GRU. Umożliwiało to napastnikom m.in. podgląd niezaszyfrowanego ruchu sieciowego ofiar oraz jego ciche przekierowywanie (np. przy próbie wejścia na Microsoft Outlook Web Access) na strony phishingowe - niemal idealne repliki stron logowania w celu kradzieży haseł i tokenów, w tym do e-maila.

Użytkownicy tych urządzeń sieciowych nie mieli pojęcia, że inwigiluje ich GRU. Odbywało się to bez ostrzeżeń antywirusowych, zmian w adresach URL czy wyskakujących okienek. Rosyjscy hakerzy działali oportunistycznie - najpierw masowo infekowali losowe routery Wi-Fi, a następnie filtrowali ruch w poszukiwaniu celów o wysokiej wartości wywiadowczej (związanych z wojskiem, rządem i infrastrukturą krytyczną) w USA, Polsce, Ukrainie, Czechach, we Włoszech, na Litwie i w Zjednoczonych Emiratach Arabskich.

Zobacz również:

Router WiFi jest łatwym celem dla hakerów.
Bezpieczeństwo

Masz taki router? Nowy sposób hakerów, żeby ukraść twoje dane

Krzysztof Sulikowski
Krzysztof Sulikowski

"Operation Masquerade" i bezprecedensowy krok FBI

W ramach "Operation Masquerade" federalne służby USA zdecydowały się na nietypowy krok. Na mocy wyroku sądowego, współpracując z firmami Black Lotus Labs (Lumen Technologies) oraz Microsoft (dział Threat Intelligence), FBI wysłało zdalne polecenia bezpośrednio do prywatnych, zainfekowanych routerów w USA. Działanie to usunęło złośliwe oprogramowanie i przywróciło prawidłowe konfiguracje DNS bez naruszania prywatnych danych użytkowników. Władze podkreślają jednak, że efekt ten można cofnąć poprzez reset fabryczny, a pełne bezpieczeństwo leży w gestii samych właścicieli sprzętu.

Problem okazał się na tyle poważny, że 23 marca 2026 r. Federalna Komisja Łączności (FCC) wprowadziła całkowity zakaz importu do USA nowych routerów konsumenckich produkowanych za granicą. Decyzję tłumaczono "poważnym zagrożeniem cyberbezpieczeństwa, które mogłoby zostać wykorzystane do natychmiastowego i poważnego zakłócenia funkcjonowania krytycznej infrastruktury USA". Zmiana ta najbardziej uderza w firmę TP-Link, która kontrolowała około 65 proc. amerykańskiego rynku routerów.

Rzecznik firmy poinformował, że modele wymieniane w raportach (w tym 23 modele wskazane przez brytyjskie NCSC) już lata temu utraciły wsparcie techniczne. Na mocy specjalnego "zwolnienia" obecne w USA routery tej firmy będą mogły otrzymywać łatki bezpieczeństwa tylko do 1 marca 2027 r. Modele, w których występuje podatność "exploitowana" przez Rosjan to:

  • TP-Link LTE Wireless N Router MR6400
  • TP-Link Wireless Dual Band Gigabit Router Archer C5
  • TP-Link Wireless Dual Band Gigabit Router Archer C7
  • TP-Link Wireless Dual Band Gigabit Router WDR3600
  • TP-Link Wireless Dual Band Gigabit Router WDR4300
  • TP-Link Wireless Dual Band Router WDR3500
  • TP-Link Wireless Lite N Router WR740N
  • TP-Link Wireless Lite N Router WR740N/WR741ND
  • TP-Link Wireless Lite N Router WR749N
  • TP-Link Wireless N 3G/4G Router MR3420
  • TP-Link Wireless N Access Point WA801ND
  • TP-Link Wireless N Access Point WA901ND
  • TP-Link Wireless N Gigabit Router WR1043ND
  • TP-Link Wireless N Gigabit Router WR1045ND
  • TP-Link Wireless N Router WR840N
  • TP-Link Wireless N Router WR841HP
  • TP-Link Wireless N Router WR841N
  • TP-Link Wireless N Router WR841N/WR841ND
  • TP-Link Wireless N Router WR842N
  • TP-Link Wireless N Router WR842ND
  • TP-Link Wireless N Router WR845N
  • TP-Link Wireless N Router WR941ND
  • TP-Link Wireless N Router WR945N

Masz ten router? FBI zaleca 5 kroków dla bezpieczeństwa

Co zrobić, jeśli twoje urządzenie jest na tej liście? Aby podnieść swoje bezpieczeństwo skorzystaj z zaleceń FBI, wykonując 5 kroków.

  1. Natychmiast zmień domyślny login oraz hasło administratora na routerze.
  2. Wyłącz funkcję zdalnego zarządzania dostępne przez internet.
  3. Regularnie aktualizuj oprogramowanie układowe (firmware), najlepiej włączając aktualizacje automatyczne.
  4. Regularnie restartuj router (NSA zaleca restart routerów, smartfonów i komputerów raz w tygodniu w celu usunięcia ewentualnych "implantów").
  5. Sprawdź i zweryfikuj ustawienia serwerów DNS w panelu konfiguracyjnym routera. Upewnij się, że nie zostały zmodyfikowane.

W przypadku urządzeń przestarzałych, które utraciły wsparcie producenta (zakończyły cykl życia, osiągając tzw. End of Life - EoL) jedynym skutecznym rozwiązaniem jest ich całkowita wymiana. Organizacjom zaleca się także bezwzględne stosowanie VPN dla pracowników zdalnych.

To nie koniec zagrożeń. Ewolucja botnetu Kazuar od FSB

Podczas gdy służby rozbiły sieć routerów GRU, Microsoft Threat Intelligence ujawnił 14 maja 2026 r. raport o innym, rozwijającym się od ponad dwóch dekad zagrożeniu - złośliwym oprogramowaniu Kazuar. Jest ono powiązane z grupą Secret Blizzard (przypisywaną przez CISA do 16. centrum rosyjskiej FSB). Program ten ewoluował z tradycyjnego trojana/backdoora w wysoce zaawansowany, nadrzędny botnet działający w architekturze peer-to-peer (P2P).

Kazuar zbudowany jest z modułu jądra, który koordynuje pracę i wybiera w zainfekowanej sieci jedno urządzenie jako "lidera", modułu mostu, który odpowiada za komunikację zewnętrzną, oraz z modułów wykonawczych, gromadzących dane z systemów. Taka architektura pozwala na głęboki kamuflaż. Z serwerem dowodzenia (C2) kontaktuje się wyłącznie wyznaczony "lider", podczas gdy reszta zainfekowanych maszyn pozostaje w sieciowej ciszy, co uniemożliwia wykrycie ich przez tradycyjne narzędzia chroniące.

Kazuar służy do masowego wykradania historii przeglądarek, list oprogramowania, dokumentów, danych z klienta poczty Outlook, rejestrów urządzeń USB oraz zasobów sieciowych. Potrafi też skutecznie obchodzić funkcje zabezpieczeń systemu Windows, takie jak Antimalware Scan Interface (AMSI), Event Tracing for Windows (ETW) oraz Windows Lockdown Policy (WLDP). Ofiarami tych działań padają głównie ministerstwa, ambasady, placówki dyplomatyczne i podmioty obronne w Europie (w tym w Ukrainie) i Azji Centralnej.

Działania obu rosyjskich agencji wywiadowczych - GRU i FSB - demonstrują spójną strategię zakładającą budowanie długoterminowej, niewidzialnej infrastruktury szpiegowskiej w oparciu o urządzenia cywilne. Eksperci i agencje federalne apelują, aby traktować domowy router jako kluczowy element systemu bezpieczeństwa, ponieważ zaniedbania w tym obszarze otwierają drogę do zaawansowanego szpiegostwa państwowego.

Zobacz również:

Rosja zamieniła domowe routery milionów ludzi w globalną sieć szpiegowską
Internet

Służby z Polski, USA i Ukrainy rozbiły globalną rosyjską sieć szpiegowską

Filip Mielczarek
Filip Mielczarek


Sherlock Holmes o mało wtedy nie zginął. Słynna scena przy wodospadzie Reichenbach© 2026 Associated Press

Najnowsze