Naposledy aktualizováno: 9. dubna 2026
Přiznám se k jedné věci, která mě teď trochu pronásleduje.
Když jsem loni vyměnila router za nový TP-Link s WiFi 6, přepojila jsem postupně všechna zařízení. Jenže solární WiFi kamera, která hlídá náš pozemek, visí venku na stožáru. Znovu ji demontovat, nést dovnitř, skenovat QR kód s novým nastavením... Upřímně, prostě jsem to odložila. Kamera fungovala dál na starém heslu od starého routeru. Věděla jsem, že to takhle není úplně správně, ale říkala jsem si, že to zařídím jindy.
Zařídila jsem to. Ale teď, kdy FBI a české Vojenské zpravodajství v březnu 2026 oznámily operaci Masquerade proti ruské hackerské skupině APT28 z GRU, jsem si na tu kameru vzpomněla znovu. Ne kvůli tomu, jaké heslo měla, ale kvůli tomu, jak přesně tenhle typ myšlení ("to počká") bývá tím prvním článkem celého řetězce.
Co se vlastně stalo
APT28, skupina spojená s ruskou vojenskou zpravodajskou službou GRU (někdy označovaná také jako Fancy Bear nebo Forest Blizzard), budovala od roku 2024 globální síť kompromitovaných domácích a kancelářských routerů. FBI to nazvala operací Masquerade a v březnu 2026 zasáhla koordinovaně ve spolupráci s několika státy. Za Česko se zapojilo Vojenské zpravodajství (VZ), které provedlo aktivní zásah v kyberprostoru. Odebralo útočníkům přístup k napadeným zařízením na území ČR a zabezpečilo je.
NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) vydal k tomu samostatnou zprávu. Ta ukazuje, že terčem nebyl jeden typ organizace, ale cokoli, co bylo zranitelné a dostupné.
Jak útok technicky fungoval: vysvětleno bez zkratek
Útočníci využili konkrétní zranitelnost v modelu TP-Link TL-WR841N. Jde o starší a levný router pro domácnosti a malé kanceláře. Tato zranitelnost, označená jako CVE-2023-50224, umožňuje obejít přihlášení úplně. Tedy: bez znalosti hesla. Výchozí hesla situaci dělala ještě horší, ale v tomto případě nebyla ani podmínkou.
Jakmile útočníci do routeru pronikli, změnili nastavení DNS a DHCP. To jsou dvě věci, které většina uživatelů v životě neotevírá, a přitom rozhodují o tom, kam váš počítač nebo telefon "jde", když píšete do prohlížeče adresu.
Představte si DNS jako telefonní seznam internetu. Vy zadáte "www.vase-banka.cz" a DNS vám řekne, kde ta stránka skutečně je. Pokud útočník kontroluje váš DNS server, může vám místo vaší banky podstrčit podvrženou stránku. Vy poznáte rozdíl jen stěží, protože adresa v prohlížeči vypadá správně.
Přesně to APT28 dělala. Přesměrovala DNS tak, aby mohla monitorovat veškerý provoz a u vybraných služeb, například Microsoft Outlook Web Access, vracet falešné odpovědi. Tím se dostala i za šifrování SSL/TLS, které by za normálních okolností komunikaci chránilo. Výsledek: hesla, autentizační tokeny, obsah e-mailů. Data, která byste od zabezpečeného připojení nečekali.
Proč to není jen problém vlád a firem
VZ ve svém vyjádření řeklo jasně: "Jedním z článků řetězce, přes který hackeři útočí na kritickou infrastrukturu, energetiku nebo státní správu, mohou být i nezabezpečená domácí zařízení."
To znamená, že váš router nemusel být terčem útoku. Mohl být jeho nástrojem. Útočníci nezabezpečená zařízení využívají jako odrazový můstek. Skryjí za ně původ útoku a zároveň mají k dispozici tisíce adres rozmístěných po celém světě, které jsou zdánlivě "nevinné". Pro oběti je pak těžké útok vystopovat a pro útočníky levné ho provozovat.
Jan Pejšek z VZ to shrnul dobře: "Využití zranitelných zařízení slouží jednak k zakrytí původce útoku, jednak poskytuje škodlivým aktérům rozsáhlou infrastrukturu pro útoky, distribuovanou po celém světě, a to v podstatě bez jakýchkoliv nákladů."
Váš starý router s původním heslem tedy nemusí sloužit jen vám.
Co s tím: konkrétní kroky
NÚKIB vydal k situaci doporučení. Tady jsou přeložená do normální řeči:
1. Zkontrolujte, jestli váš router ještě dostává aktualizace
Každý router má takzvaný konec životnosti (EOL, End of Life), po kterém výrobce přestane vydávat bezpečnostní záplaty. TP-Link TL-WR841N je starý model, který EOL pravděpodobně překročil. Pokud máte starší router a výrobce pro něj nevydal aktualizaci firmware za poslední rok nebo dva, zvažte výměnu. Bezpečnostní díra, kterou nikdo neopraví, zůstane otevřená navždy.
2. Aktualizujte firmware
Pokud váš router aktualizace dostává, ujistěte se, že běží na nejnovější verzi. U TP-Linku to lze udělat přes aplikaci Tether. Sama ji používám a pravidelně tam aktualizaci kontroluji. Je to záležitost pár minut.
3. Změňte výchozí přihlašovací údaje administrátorského rozhraní
Toto je nejzásadnější bod. Výchozí heslo (admin/admin nebo admin/password) je veřejně dostupné pro každý model routeru. Pokud jste ho nikdy nezměnili, udělejte to teď. Heslo k administraci routeru je jiné než heslo k WiFi. Je to přihlášení do nastavení samotného zařízení.
4. Vypněte vzdálenou správu z internetu
Většina routerů má možnost spravovat je vzdáleně, tedy přes internet, ne jen z domácí sítě. Tato funkce má smysl pro síťové administrátory, pro domácnost ale znamená zbytečně otevřené dveře. Pokud ji nepotřebujete, vypněte ji.
5. Všímejte si varování prohlížeče
Pokud vás prohlížeč upozorní na neplatný certifikát nebo na to, že připojení není bezpečné, berte to vážně, ne jako obtěžující hlášku. Právě tohle mohl být jeden ze signálů u obětí APT28. Kompromitovaný DNS může způsobit, že certifikát stránky nesedí, protože jste ve skutečnosti na jiném serveru, než si myslíte.
VPN jako doplňková vrstva obrany
Tady chci být přesná, protože se o VPN hodně říkají věci nepřesné.
VPN sama o sobě nekompromitovaný router neopraví a DNS hijacking nevyřeší automaticky. Záleží na tom, jak je VPN nastavena. Ale, a to je důležité, dobrá VPN šifruje veškerý provoz ještě předtím, než opustí vaše zařízení, a přesměruje DNS dotazy přes vlastní servery, nikoli přes ty nastavené na routeru. Pokud by tedy útočník změnil DNS na vašem routeru, ale vy byste měli aktivní VPN se správně nastavenou ochranou DNS leaků, vaše dotazy by šly přes VPN tunel a podvržené odpovědi by vás nezasáhly.
Na soukromých zařízeních VPN aktivně používám a na firemním notebooku je standard od IT oddělení. V kontextu toho, co APT28 dělala, mi tohle dává smysl víc než dřív. Není to kouzlo, ale je to jedna z vrstev, která má konkrétní efekt.
Pokud VPN nepoužíváte, je to téma, které stojí za rozmyšlení, zejména na veřejných sítích. Mám o tom samostatný článek o tom, co VPN umí a neumí, který vám pomůže se zorientovat bez marketingového přehánění.
Co plánuji řešit dál: DNS na úrovni routeru
Přiznám se, že mám jednu věc, kterou jsem ještě pořádně nevyřešila: nastavení vlastního DNS serveru na routeru. Jde o to přepsat výchozí DNS od poskytovatele připojení na alternativu, která blokuje škodlivé domény a neloguje dotazy.
Možnosti jsou například Cloudflare (1.1.1.1), Google (8.8.8.8) nebo privátně zaměřený Quad9 (9.9.9.9), který aktivně blokuje malware. Tohle nastavení je nezávislé na VPN a funguje pro všechna zařízení v síti najednou, včetně chytré televize, domácí kamery nebo čehokoli jiného, co k routeru připojíte.
Tohle je další vrstva, která v kontextu APT28 dává smysl. Útočníci totiž přesně na DNS cílili. Pokud máte kontrolu nad tím, který DNS server váš router používá, výrazně ztížíte možnost podvržených odpovědí, i kdyby se někdo dostal blíže k vaší síti.
Poznámka ke značce routeru
Zranitelný model byl TP-Link. Já sama TP-Link používám, konkrétně novější model s WiFi 6, který je na tom s bezpečností podstatně lépe. CVE-2023-50224 se ho přímo netýká.
Ale upřímně, tato kauza mi připomněla, že TP-Link je čínská firma. GRU je ruská hrozba, ale čínské státní aktéry v oblasti kyberšpionáže sledují bezpečnostní agentury stejně pozorně. Americká vláda měla v minulých letech TP-Link na radaru právě z těchto důvodů.
Neplánuji svůj router okamžitě vyměnit. Ale zvažuji, že při příští výměně sáhnu po evropské nebo japonské alternativě, například ASUS (Taiwan), AVM FRITZ!Box (Německo) nebo Ubiquiti (USA). Ne z paniky, ale jako vědomé rozhodnutí o tom, čemu v domácí síti důvěřuji.
Shrnutí
Operace Masquerade ukázala, že domácí routery nejsou mimo zájem státních aktérů, naopak jsou pro ně zajímavé právě proto, že jsou levně zranitelné a špatně monitorované. Kroky, které NÚKIB doporučuje, nejsou složité a zvládne je každý. Aktualizace firmware, změna hesla administrátora, vypnutí vzdálené správy. To jsou věci, které lze udělat dnes odpoledne.
Já si po psaní tohoto článku sedla do Tetheru a zkontrolovala nastavení. Firmware byl aktuální, heslo správné, vzdálená správa vypnutá. DNS nechávám na příští víkend.
Pokud vás téma zabezpečení domácí sítě zajímá víc do hloubky, mám tady průvodce zabezpečením domácí WiFi a článek o výběru správného routeru.
Oficiální zdroje
Časté dotazy
Týká se tato zranitelnost i mého routeru TP-Link?
Konkrétní zranitelnost CVE-2023-50224 se týká modelu TP-Link TL-WR841N, starší a dnes již EOL zařízení. Novější modely TP-Link touto zranitelností netrpí. Obecná pravidla ale platí pro každý router: aktualizujte firmware, změňte výchozí heslo administrátora a vypněte vzdálenou správu.
Co je DNS hijacking a jak se bráním?
DNS hijacking je útok, při kterém útočník přepíše nastavení DNS serveru na vašem routeru. Výsledkem je, že místo skutečných stránek vidíte podvržené kopie, přestože adresa v prohlížeči vypadá správně. Obrana zahrnuje aktualizaci firmware routeru, použití VPN s ochranou DNS úniku a nastavení důvěryhodného DNS serveru.
Jak poznám, že byl můj router kompromitován?
Signály mohou být: varování prohlížeče o neplatných certifikátech, přesměrování na podivné stránky při zadání správné adresy, neobvykle pomalé připojení nebo změny v nastavení routeru, které jste sami neprovedli. Pokud máte podezření, obnovte router do továrního nastavení a aktualizujte firmware.
Pomůže VPN jako ochrana před tímto typem útoku?
Částečně ano. VPN přesměruje DNS dotazy přes vlastní servery mimo váš router, takže podvržené DNS odpovědi útočníka se k vašim zařízením nedostanou. Podmínkou je správně nastavená ochrana DNS úniku. VPN ale nenahrazuje aktualizaci firmware ani změnu hesla administrátora.