Anna LindgrenRyska statsanknutna hackare från gruppen APT28 — även känd som Fancy Bear, knuten till den ryska militärunderrättelsetjänsten GRU — genomför just nu aktiva attacker mot routrar i hela Europa och Nordamerika. Brittiska NCSC och det amerikanska FBI utfärdade den 7 april 2026 gemensam varning: över 200 organisationer och 5 000 konsumentenheter har redan kompromitterats. Angriparna manipulerar routrarnas DNS-inställningar, utan att användarna märker något. Svenska företag är ett tydligt mål.
Vad hackarna gör — och varför routern är nyckeln
APT28:s nuvarande kampanj riktar sig specifikt mot routrar av märkena TP-Link, MikroTik och Cisco. Angriparna utnyttjar kända sårbarheter i äldre firmware-versioner och dåligt konfigurerade standardinställningar. När de väl har kontroll över routern manipulerar de DNS-inställningarna — den tjänst som omvandlar webbadressen du skriver till en IP-adress. Resultatet: din anslutning dirigeras om till en falsk webbplats som ser identisk ut med originalet, och dina inloggningsuppgifter stjäls i realtid utan att du märker något.
Det är en sofistikerad men skalbar attack. Den kräver inte att angriparna installerar skadlig kod på varje enskild dator — det räcker att kontrollera routern. Alla enheter på nätverket är sedan potentiellt exponerade: datorer, mobiltelefoner, kassasystem, IP-kameror och IoT-sensorer i allt från lagerlokaler till kontorslandskap.
Parallellt med APT28-kampanjen rapporterades i mars 2026 en ny typ av sårbarhet kallad AirSnitch, som kringgår WPA3-kryptering — den senaste och starkaste Wi-Fi-säkerhetsstandarden. Alla testade routrar i studien visade sig vara sårbara. Tillgängliga patchar saknas fortfarande för flera berörda modeller.
Dessutom varnade den amerikanska FCC den 20 mars 2026 att routrar tillverkade av utländska aktörer utgör en oacceptabel säkerhetsrisk för kritisk infrastruktur och affärsverksamhet — en bedömning som rimmar med NCSC:s parallella varningar i Europa.
Varför svenska företag är extra utsatta
Sverige är ett av de länder i Europa med högst andel uppkopplade företag och IoT-enheter per anställd. Det gör oss produktiva — och attraktiva som mål. Ryska statshackare har länge riktat sig mot nordiska länder, delvis på grund av vår NATO-integration och delvis för att den typiska svenska verksamheten hanterar känslig data men sällan har dedikerat IT-säkerhetsteam.
Enligt NCSC:s varning från april 2026 är de mest utsatta sektorerna transport, energi, offentlig förvaltning och finansiella tjänster — men attackerna mot SME-företag ökar. En liten redovisningsbyrå, ett advokatkontor eller ett hantverksföretag som inte uppdaterar sin router är lika sårbar som ett stort industriföretag — och betydligt mer sannolikt att vara utan incidentberedskap.
I Sverige publicerar CERT-SE, en del av MSB (Myndigheten för samhällsskydd och beredskap), löpande säkerhetsvarningar och tekniska råd. Alla som driver en nätverksansluten verksamhet bör prenumerera på deras utskick och ta varningarna på allvar — inte som hypotetiska risker, utan som pågående hot.
Fem konkreta åtgärder du kan ta idag
Du behöver inte vara IT-expert för att väsentligt minska risken. Dessa fem steg är de mest effektiva skyddsåtgärderna:
1. Uppdatera din routers firmware. Logga in på routerns administrativa gränssnitt (vanligtvis via 192.168.0.1 eller 192.168.1.1 i webbläsaren). Sök efter en knapp som säger "Firmware update", "Programvaruuppdatering" eller liknande. Om din router inte har uppdaterats på mer än sex månader, gör det omedelbart. Är routern för gammal för att få uppdateringar — byt ut den.
2. Byt standardlösenord. Routrar levereras med standardinloggningsuppgifter som "admin/admin" eller "admin/password". Dessa är välkända, offentligt dokumenterade och utnyttjas aktivt. Byt till ett unikt, starkt lösenord — minst 16 tecken med blandning av bokstäver, siffror och specialtecken.
3. Stäng av fjärradministration. Funktionen "Remote Management" eller "Remote Access" låter dig styra routern utifrån — och låter angripare göra detsamma. Stäng av den om du inte aktivt och medvetet använder den.
4. Segmentera nätverket. Separera företagets interna nätverk från gäst-Wi-Fi och IoT-enheter (kameror, skrivare, smarta skärmar, produktionsutrustning). En router som komprometteras på gästnätet kan då inte nå dina känsliga affärssystem.
5. Aktivera DNS-over-HTTPS (DoH). Många moderna routrar och operativsystem stödjer krypterad DNS. Det försvårar avlyssning och DNS-manipulation avsevärt — och är den direkta motåtgärden mot APT28:s nuvarande angreppsmetod.
När räcker inte egna åtgärder?
Ovanstående steg är ett viktigt minimum — men de räcker inte alltid. Om ditt företag hanterar känslig kunddata, personuppgifter (GDPR), eller arbetar mot offentlig sektor, finansiella aktörer eller kritisk infrastruktur, krävs en mer systematisk genomgång.
En certifierad IT-säkerhetskonsult kan genomföra:
Nätverkssårbarhetsscan: identifierar öppna portar, exponerade administrativa gränssnitt och felkonfigurerade enheter — sådant som du inte ser i den dagliga driften men som en angripare hittar på minuter.
Penetrationstest: simulerar en verklig attack för att se vad en extern angripare kan nå och vad konsekvenserna skulle bli. Resultatet är en prioriterad åtgärdslista, inte ett skrämselfyllt rapport.
DNS-övervakning: loggar DNS-förfrågningar och larmar vid avvikelser som kan tyda på kapning eller omdirigering — precis det APT28 gör just nu.
Utbildning för anställda: de flesta lyckade cyberattacker börjar inte med en teknisk exploit utan med ett phishing-mejl. En halvdag med utbildning om social engineering skyddar mer effektivt än de flesta tekniska lösningar.
Hotet är verkligt — och pågår nu
APT28:s routerattacker är ingen abstrakt framtidsrisk. De pågår aktivt, de har bekräftats av statliga myndigheter i USA och Storbritannien, och Sverige är ett utpekat mål. Att vänta tills det har hänt är inte en strategi — det är ett val att låta angriparen bestämma tidpunkten. En IT-specialist kan hjälpa dig att ta initiativet innan skadan är skedd.
Notering: Denna artikel är avsedd för allmän information. Kontakta en kvalificerad IT-säkerhetskonsult för en bedömning av din specifika situation.
