У сучасній війні найнебезпечніша атака часто починається не з ракетного удару і не з проникнення в захищений дата-центр. Вона починається з побутового пристрою, який стоїть на полиці в квартирі, офісі чи польовому штабі. Саме так виглядає нова російська кіберкампанія: не гучний злам великих систем, а тихе перехоплення трафіку через звичайні SOHO-роутери, які давно випали з поля стратегічної уваги.
Оприлюднена 7 квітня координація між США, Україною та низкою європейських партнерів описує не епізодичний інцидент, а масштабну схему кіберрозвідки, пов’язану з APT28 — угрупованням, яке західні служби пов’язують із 85-м центром спецслужби ГРУ, військовою частиною 26165. Ціллю були військові, урядові структури та критична інфраструктура — тобто саме ті середовища, де інформація має оперативну цінність уже в момент її руху.
Технічна логіка атаки майже зразково проста. Зловмисники не обов’язково ламали поштовий сервіс чи урядовий сервер напряму. Вони змінювали DHCP/DNS-налаштування в уразливих роутерах, після чого підключені до них ноутбуки й телефони автоматично успадковували підмінені параметри. Далі трафік спрямовувався через контрольовані атакувальниками DNS-сервери, що відкривало шлях до вибіркових adversary-in-the-middle атак, збору паролів, токенів, листування та іншої чутливої інформації.
Саме тут, за попереднім аналізом Дейком, проходить головний злам у логіці кібербезпеки. Держава довго вважала, що її периметр — це захищений сервер, дата-центр, службовий ноутбук, урядова пошта. Насправді периметр давно пересунувся в дім працівника, у маленький офіс підрядника, у тимчасову мережу логістичного вузла. Там, де є віддалена робота, мобільний доступ, VPN, хмарна автентифікація і звичка не оновлювати прошивку, там і виникає новий тил війни.
Особливо показово, що ця кампанія не була хаотичною. За даними британського NCSC, з 2024 року APT28 використовувала скомпрометовані маршрутизатори для масового збору DNS-запитів, а потім фільтрувала потік, відбираючи користувачів потенційної розвідувальної цінності. Це означає, що модель не будувалася на «грубі силі». Вона будувалася на масштабі, дешевизні й терплячому сортуванні даних: спочатку захопити широкий пул жертв, а вже потім знаходити серед них потрібні урядові, військові та інфраструктурні вузли.
Не менш важливо й те, що мішенню стала сама довіра до шифрування. У нормальній уяві SSL/TLS, захищений веб-сеанс або корпоративна пошта створюють відчуття безпеки. Але якщо трафік уже перенаправлено на підконтрольний вузол, а користувач ігнорує попередження сертифіката або працює в середовищі зі слабкою перевіркою, шифрування перестає бути щитом і стає лише оболонкою, яку можна обійти через інфраструктурну підміну. Це дуже неприємна новина для держав, що покладалися на формальну захищеність сервісів, але недооцінювали захист краю мережі.
Окремий сенс має вибір самих пристроїв. У документах прямо згадано TP-Link, зокрема WR841N із використанням CVE-2023-50224, а також інші моделі TP-Link і MikroTik. Це не екзотичне обладнання спецслужб. Це масовий споживчий сегмент, дешевий, поширений, часто застарілий і майже завжди погано адміністрований. І саме тому він ідеально підходить для розвідки державного рівня: чим буденніший пристрій, тим менше шансів, що його сприйматимуть як серйозний військовий ризик.
Американська операція з нейтралізації частини мережі в понад 23 штатах показує ще одну річ: йдеться не про локальну європейську проблему і не про український виняток. Судово санкціоноване втручання ФБР, яке скидало шкідливі DNS-налаштування і унеможливлювало подальший доступ ГРУ до роутерів, фактично підтвердило, що побутова мережева інфраструктура вже стала ареною міждержавного протистояння. Іншими словами, домашній пристрій американця, польського чиновника чи українського офіцера тепер може бути частиною одного і того ж розвідувального ланцюга.
Ця історія також не виникла з нуля. Ще в 2024 році спільне попередження США та союзників фіксувало, що APT28 використовувала скомпрометовані EdgeRouter для збору облікових даних, проксіювання трафіку, фішингових посадкових сторінок і роботи з інструментами після проникнення. А в 2025 році союзники окремо попереджали, що та сама структура ГРУ системно полює на західні логістичні та технологічні компанії, пов’язані з допомогою Україні, а також на інтернет-камери біля маршрутів постачання. Нинішня кампанія з роутерами — не відхилення, а наступний крок еволюції.
У стратегічному сенсі Росія тут діє дуже раціонально. Їй не потрібно зламувати кожне міністерство напряму, якщо можна зайти через слабкий край мережі, де з’єднуються приватне і службове. Саме тому найбільша вразливість Заходу сьогодні — не брак дорогих систем захисту, а розрив між інституційною кіберполітикою та повсякденною цифровою поведінкою. Коли чиновник або військовий працює з дому, мережа квартири стає продовженням державної мережі, навіть якщо жоден регламент цього психологічно не визнає.
Звідси випливає і неприємний висновок для України та її партнерів. Класична модель кіберзахисту, де пріоритет віддається центру — дата-центрам, поштовим серверам, урядовим доменам, — більше не достатня. Захист треба переносити на периферію: верифікація домашніх маршрутизаторів, примусове оновлення прошивок, жорсткі правила віддаленого доступу, окремі політики для підрядників, постійна перевірка DNS, навчання щодо сертифікатних помилок, стимулювання заміни end-of-support пристроїв. Саме там тепер вирішується, чи лишиться закритою службова переписка, чи перетвориться вона на розвідувальний ресурс противника.
Найсильніший ефект цієї кампанії — не в кількості зламаних роутерів, а в зміні масштабу мислення. Раніше маршрутизатор сприймався як дрібна технічна деталь. Тепер він постає як точка входу в державу. У війні, де інформація дорожчає швидше за метал, дешевий Wi-Fi-роутер може виявитися кориснішим для розвідки, ніж дорогий шпигунський інструмент. І саме тому нова лінія оборони проходить уже не лише по кордону, а й по кожному непоміченому пристрою на краю мережі.