Wyobraźmy sobie sytuację, w której zwykły domowy router – urządzenie, obok którego przechodzimy codziennie bez zastanowienia – staje się narzędziem w rękach rosyjskiego wywiadu wojskowego. Dokładnie to wydarzyło się w ponad 23 stanach USA, gdzie routery należące do niczego niepodejrzewających obywateli zostały przejęte przez jednostkę GRU oznaczoną jako Jednostka Wojskowa 26165. Departament Sprawiedliwości i FBI ujawniły we wtorek szczegóły zatwierdzonej przez sąd operacji technicznej, której celem była neutralizacja części sieci zhakowanych routerów w małych biurach i domach na terenie Stanów Zjednoczonych. Ataki były wymierzone w członków armii USA, instytucje rządowe oraz infrastrukturę krytyczną – czyli cele, z których Kreml spodziewał się pozyskać informacje wywiadowcze o najwyższej wartości.
Jednostka 26165 funkcjonuje w świecie cyberbezpieczeństwa pod wieloma pseudonimami – APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear i Sednit – lecz jej macierzystą strukturą jest Główny Zarząd Wywiadowczy Sztabu Generalnego Rosji. Od 2024 roku hakerzy GRU wykorzystywali znane luki w routerach marki TP-Link na całym świecie, aby kraść dane uwierzytelniające administratorów, a następnie zmieniać ustawienia urządzeń i przekierowywać zapytania DNS na złośliwe resolvery kontrolowane przez rosyjski wywiad.
CYNICZNYM OKIEM: Routery TP-Link ze znanymi lukami bezpieczeństwa stoją w milionach domów jak otwarte drzwi z tabliczką „zapraszamy”. GRU tylko skorzystało z zaproszenia, a my udajemy zaskoczonych.
Operacja Masquerade – cyfrowa kontrofensywa FBI
Odpowiedź amerykańskich służb przyszła pod kryptonimem Operation Masquerade i była prowadzona przez bostońskie biuro terenowe FBI. Operacja stanowi najnowsze działanie USA mające na celu osłabienie rosyjskich cyberzagrożeń wykorzystujących codzienne urządzenia konsumenckie.
„W obliczu ciągłej agresji ze strony naszych państwowych przeciwników, a rząd USA zareaguje równie agresywnie” – powiedział prokurator David Metcalf z Wschodniego Dystryktu Pensylwanii.
Zastępca dyrektora Wydziału Cybernetycznego FBI, Brett Leatherman, nie pozostawił wątpliwości co do skali zagrożenia.
„Biorąc pod uwagę skalę tego zagrożenia, samo podniesienie alarmu nie wystarczyło. FBI przeprowadziło autoryzowaną przez sąd operację w celu zabezpieczenia zhakowanych routerów w całych Stanach Zjednoczonych” – zaznaczył Leatherman.
Mechanizm ataku był wyrafinowany i precyzyjny. Sprawcy ustawiali automatyczne filtry identyfikujące ruch sieciowy o wysokiej wartości przed jego przejęciem. Złośliwe resolvery zwracały fałszywe rekordy DNS podszywające się pod legalne usługi, w tym Microsoft Outlook Web Access. Dzięki temu GRU przeprowadzało ataki typu man-in-the-middle na ruch sieciowy, który ofiary uważały za w pełni zaszyfrowany i bezpieczny.
Efekt? Rosyjski wywiad był w stanie przechwytywać niezaszyfrowane hasła, tokeny uwierzytelniające, e-maile i inne wrażliwe dane z urządzeń w sieci lokalnej każdego zhakowanego routera.
Chirurgiczna precyzja i partnerzy z sektora prywatnego
Dokumenty sądowe złożone we Wschodnim Dystrykcie Pensylwanii opisują, jak FBI opracowało i przetestowało komendy wysyłane wyłącznie do zainfekowanych routerów. Komendy te ujawniły dowody na schematy działania GRU, zresetowały ustawienia DNS do legalnych resolverów dostawców internetu i zamknęły oryginalne punkty nieautoryzowanego dostępu. Co istotne, analiza oprogramowania układowego i ustawień sprzętowych routerów TP-Link potwierdziła, że operacja nie zakłóci normalnego funkcjonowania urządzeń ani nie będzie gromadzić danych osobowych użytkowników.
W operację zaangażowano technologicznych partnerów – Black Lotus Labs (Lumen), Microsoft Threat Intelligence oraz MIT Lincoln Laboratory.
„To najnowszy przykład tego, jak bronimy ojczyzny przed rosyjskim GRU, które uczyniło broń z routerów należących do niczego niepodejrzewających Amerykanów” – powiedział agent specjalny Ted E. Docks, kierujący bostońskim biurem terenowym FBI.
CYNICZNYM OKIEM: FBI naprawia routery obywateli, bo ci sami obywatele nie aktualizowali firmware’u od dnia zakupu. Największym sojusznikiem rosyjskiego wywiadu okazuje się ludzkie lenistwo.
Historia Jednostki 26165 GRU to jednak znacznie więcej niż pojedyncza operacja. W maju 2025 roku CISA wraz z partnerami międzynarodowymi wydała wspólne ostrzeżenie opisujące, jak jednostka atakowała zachodnie firmy logistyczne i technologiczne dostarczające pomoc Ukrainie. Kampania trwająca od 2022 roku dotknęła organizacje w 13 krajach, w tym w USA, Niemczech i Francji. Z kolei w kwietniu 2025 roku Francja oficjalnie przypisała GRU serię ataków trwających od 2021 roku.
„Rosyjski wywiad wojskowy (GRU) od kilku lat stosuje przeciwko Francji ofensywny modus operandi o nazwie APT28. Od 2021 roku wzięto na cel około 10 francuskich podmiotów” – napisał Jean-Noël Barrot, francuski minister spraw zagranicznych.
Warto przypomnieć, że obecna operacja nie jest pierwszą tego typu. Już w lutym 2024 roku Departament Sprawiedliwości rozbił kontrolowany przez GRU botnet, który zaatakował setki routerów na całym świecie. FBI użyło wówczas tego samego złośliwego oprogramowania, aby skopiować i usunąć skradzione dane, jednocześnie blokując zdalny dostęp do zarządzania urządzeniami. FBI współpracuje teraz z dostawcami usług internetowych, a właścicielom routerów radzi się wymianę urządzeń pozbawionych wsparcia technicznego, aktualizację oprogramowania oraz weryfikację ustawień DNS i reguł zapory ogniowej.
