Чтобы "проникнуть в ОС" в ней должна быть уязвимость, которой пользуется атакующий хакер или вирус. И Petya действовал именно так: атаковал через уязвимость
EternalBlue. И, да, если уязвимость есть - то взломанный (или зараженный вирусом) роутер может быть использован как площадка для дальнейшей атаки в локальную сеть.
предпологается, что операционка актуальной версии, где ранее известные уязвимости уже исправлены давно
С таким условием атака возможна только через неизвестные уязвимости (zero-day).