Tusentals routrar i hem och på kontor har kapats och använts för att avlyssna internettrafik. Det amerikanska justitiedepartementet och FBI har nu stängt ner nätverket i en operation kallad Operation Masquerade.

Vad hände?

Sedan minst 2024 har angripare utnyttjat kända sårbarheter i TP-Link-routrar för att stjäla inloggningsuppgifter och ta kontroll över enheterna. De komprometterade routrarna användes sedan för DNS-kapning — en teknik där routerns DNS-inställningar ändras så att internettrafik omdirigeras genom angriparens servrar.

Det innebär att alla enheter som var anslutna till en komprometterad router — datorer, telefoner, skrivare, IoT-enheter — potentiellt fick sin trafik avlyssnad. Användarna märkte ingenting eftersom webbsidorna såg normala ut.

Varför SOHO-routrar är ett attraktivt mål

SOHO-routrar (Small Office/Home Office) är den typ av routrar som de flesta småföretag och hemmakontor använder. De är billiga, enkla att installera och — det är här problemet ligger — sällan uppdaterade. Många kör firmware som är månader eller år gammal, med kända säkerhetshål som aldrig patchas.

Till skillnad från företagsservrar som övervakas aktivt, sitter routrar i ett hörn och glöms bort. De har sällan loggning aktiverad och ingen varnar när inställningar ändras. Det gör dem till perfekta språngbrädor för angripare som vill vara osynliga.

DNS-kapning — varför det är så farligt

När en angripare kontrollerar din routers DNS kan de styra vart din trafik går. Du skriver in din banks webbadress och hamnar på en perfekt kopia. Du loggar in på företagets e-post och skickar dina uppgifter rakt till angriparen.

DNS-kapning kan också användas för att blockera säkerhetsuppdateringar, omdirigera nedladdningar till skadliga versioner eller samla in metadata om vilka tjänster och webbplatser som används i nätverket.

Så skyddar du ditt företag

Kontrollera vilken router ni använder på kontoret och hemma. Om det är en TP-Link-modell, uppdatera firmware omedelbart. Byt standardlösenord om ni inte redan gjort det. Kontrollera att DNS-inställningarna pekar på betrodda servrar — exempelvis Cloudflares 1.1.1.1 eller Googles 8.8.8.8.

Överväg att byta till en router med automatiska säkerhetsuppdateringar. Aktivera loggning om det finns som alternativ. Och viktigast av allt — behandla routern som en del av er säkerhetsinfrastruktur, inte som en engångsinstallation.

Behöver ni hjälp att granska ert nätverk och era routrar? Kontakta BlckIT så hjälper vi er att säkra er nätverksinfrastruktur.