Routeren din kjører sannsynligvis med admin/admin som passord - FBI advarer om aktive angrep

Advarselen ble først sendt ut som en FLASH-bulletin fra Internet Crime Complaint Center i mai 2025, og har på nytt blusset opp i 2026 etter at angrepene har spredt seg. Trusselen rammer både privatpersoner og små bedrifter, og felles for alle ofrene er at de aldri har endret det passordet som sto klistret på undersiden av boksen da den ble pakket ut.

Angriperne skanner internett etter rutere som er nådd såkalt "end of life", altså modeller som ikke lenger får sikkerhetsoppdateringer fra produsenten. Når de finner en, brukes kjente sårbarheter til å installere en malware-variant kalt TheMoon. Den infiserte ruteren kobles deretter til et botnett som selges som proxy-tjeneste til andre kriminelle, slik at de kan skjule sin egen aktivitet bak en helt vanlig norsk IP-adresse.

13 modeller står på listen

FBI har navngitt 13 konkrete modeller som er bekreftet kompromittert. Tolv av dem er Linksys-rutere, blant annet E1200, E2500, E4200, WRT320N og WRT610N, mens den siste er Cisco M10. De fleste ble produsert mellom 2009 og 2011, og mange står fortsatt aktive i hjem som aldri har byttet utstyret.

David Shipley i sikkerhetsselskapet Beauceron Security beskriver situasjonen som alvorlig for bedrifter som fortsatt bruker slike modeller. "Hvis en virksomhet bruker en av disse ruterne, legger de seg åpne for angrep på infrastrukturen sin," sier han til CSO Online.

Problemet er at folk flest aldri sjekker. Johannes Ullrich ved SANS Technology Institute peker på et grunnleggende kunnskapshull: "Hvis brukerne ikke regelmessig sjekker hos leverandøren, vet de kanskje ikke at ruteren ikke lenger får oppdateringer."

Nye angrep i 2026

Trusselbildet har bare forverret seg det siste året. I april 2026 kunngjorde FBI sammen med NSA at de hadde avdekket en kampanje kalt Operation Masquerade, der russiske statshackere knyttet til militær etterretning hadde tatt over rundt 5.000 hjemmerutere i mer enn 200 organisasjoner. Angriperne hadde endret DNS-innstillingene på enhetene og brukte dem til å avlytte trafikk og stjele passord.

"Vi ber nå alle som har en ruter om å sikre den, oppdatere fastvaren og skifte den ut hvis det er nødvendig," uttalte Ted Docks, spesialagent ved FBIs Boston-kontor.

Slik sikrer du ruteren

For norske brukere er problemet velkjent. Nettvett.no, som drives av Nasjonal kommunikasjonsmyndighet og Nasjonal sikkerhetsmyndighet, har lenge advart om akkurat denne fellen. På siden om trådløst hjemmenettverk påpekes det at brukernavn og passord ofte er likt for alle rutere av samme type, og at "alle vet hva brukernavnet og passordet" er hvis du ikke endrer det.

NorSIS, som er Norsk senter for informasjonssikring, anbefaler på samme måte å skifte passord på alle elektroniske enheter man installerer hjemme eller på kontoret, slik at de ikke står åpne med fabrikkinnstillinger.

Konkret betyr det fire ting:

Logg inn på ruteren via nettleseren, ofte på adressen 192.168.0.1 eller 192.168.1.1. Brukernavn og passord står som regel på et klistremerke under enheten. Bytt deretter både administratorpassordet og Wi-Fi-passordet til noe langt og unikt, helst på 16 tegn eller mer. FBI anbefaler mellom 16 og 64 tegn.

Skru av fjernadministrasjon i innstillingene. Det er denne funksjonen angriperne bruker for å komme inn utenfra. Sjekk samtidig at krypteringen er WPA2 eller WPA3. Nettvett påpeker at "WEP er ikke tilstrekkelig, og kan lett knekkes".

Til slutt: sjekk hvor gammel ruteren er. Hvis den er mer enn fem til seks år, er sjansen stor for at produsenten ikke lenger sender ut sikkerhetsoppdateringer. Da hjelper det ikke å bytte passord, da må selve boksen skiftes ut.