APT28 przejmuje routery TP-Link i MikroTik. NCSC ostrzega przed DNS hijackingiem i kradzieżą haseł
Domowe routery zwykle znikają z pola widzenia użytkowników zaraz po ich pierwszej konfiguracji. I właśnie dlatego bywają one tak wygodnym celem dla hakerów. Brytyjskie NCSC opisało kampanię grupy APT28 kojarzonej z GRU, w której atak nie zaczyna się od otwarcia podejrzanego maila, lecz od cichej zmiany ustawień DNS. Reszta dzieje się już na poziomie całej sieci, a użytkownik często widzi tylko pojedyncze ostrzeżenie o certyfikacie.
Najgroźniejsze w tej hakerskiej kampanii nie jest samo przejęcie routera, lecz fakt, że po cichu zatruwa on całą sieć za nim.
![APT28 przejmuje routery TP-Link i MikroTik. NCSC ostrzega przed DNS hijackingiem i kradzieżą haseł [1]](/image/news/2026/04/08_apt28_przejmuje_routery_tp_link_i_mikrotik_ncsc_ostrzega_przed_dns_hijackingiem_i_kradzieza_hasel_1_b.jpg)
Jeden błąd w VRAM i po systemie? Nowy atak na karty NVIDII wygląda znacznie groźniej, niż sugeruje nazwa
Tym razem w hakerskim ataku przypisywanym grupie APT28 nie chodzi o efektowny malware, lecz o stary, brutalnie skuteczny numer wykonany na innej warstwie. APT28, czyli grupa łączona z rosyjskim GRU, przejmowała podatne routery SOHO, głównie TP-Link i MikroTik, po czym podmieniała ustawienia DHCP i DNS. W praktyce cały ruch z laptopów, telefonów i innych urządzeń wpadał najpierw na serwery kontrolowane przez napastników. Jeśli ofiara zignorowała błąd TLS, atakujący mogli podejrzeć hasła, tokeny OAuth, pocztę i sesje logowania. Microsoft mówi o ponad 200 organizacjach i 5000 urządzeń konsumenckich dotkniętych kampanią.
![APT28 przejmuje routery TP-Link i MikroTik. NCSC ostrzega przed DNS hijackingiem i kradzieżą haseł [2]](/image/news/2026/04/08_apt28_przejmuje_routery_tp_link_i_mikrotik_ncsc_ostrzega_przed_dns_hijackingiem_i_kradzieza_hasel_2_b.jpg)
Hakerzy mogą przejąć pełną kontrolę nad twoim serwerem przez tanie akcesorium. Poziom podatności CVSS jest alarmujący
Dla użytkownika to zła wiadomość, bo tradycyjne myślenie o bezpieczeństwie tutaj nie wystarcza. Nawet poprawnie działająca przeglądarka i szyfrowanie HTTPS nie pomagają, gdy zatrute DNS kieruje ruch na podstawioną infrastrukturę. Na tle klasycznego phishingu ten model jest groźniejszy, bo nie poluje na jedną ofiarę, tylko na całą sieć za przejętym routerem. Właśnie o takim zaniedbanym sprzęcie pisaliśmy lata temu przy okazji poważnych luk w routerach TP-Link, a niedawno wróciliśmy do tematu przy operacji WrtHug na urządzeniach ASUS. Wniosek jest prosty. Domowy router stał się pełnoprawnym polem walki wywiadowczej. Długofalowo wymusi to szybszą wymianę sprzętu bez wsparcia, większą ostrożność wobec ostrzeżeń certyfikatów i odejście od traktowania routera jak pudełka, o którym przypomina się dopiero wtedy, gdy zniknie internet.
![APT28 przejmuje routery TP-Link i MikroTik. NCSC ostrzega przed DNS hijackingiem i kradzieżą haseł [3]](/image/news/2026/04/08_apt28_przejmuje_routery_tp_link_i_mikrotik_ncsc_ostrzega_przed_dns_hijackingiem_i_kradzieza_hasel_0_b.png)
Powiązane publikacje
Miało być zamknięcie zgłoszenia, wyszedł poradnik ataku. Miliony użytkowników Chromium zostały z otwartą furtką
12
Nowe obejście BitLockera w Windows 11 i Windows Server 2022/2025. Wystarczy fizyczny dostęp oraz nośnik USB
59
Zwolnili ich i wkrótce zaczęły znikać rządowe bazy danych. Ta historia brzmi jak scenariusz thrillera, ale wydarzyła się naprawdę
22
Druga poważna luka w jądrze Linux w dwa tygodnie. Dirty Frag rozszerza klasę błędów znaną z Dirty Pipe i Copy Fail
31
