FBI a destructurat o rețea de spionaj cibernetic a armatei ruse din 15 țări
Departamentul de Justiție al SUA și FBI au destructurat o rețea de spionaj cibernetic operată de GRU, serviciul de informații al armatei ruse. Operațiunea viza infrastructuri sensibile din mai multe state occidentale, inclusiv România. Hackerii foloseau o rețea globală de routere compromise pentru a fura informații militare și guvernamentale.
Acțiunea a fost o lovitură directă dată grupării de elită APT28.
Mai exact, actorii cibernetici aparținând Centrului Principal de Servicii Speciale 85 al GRU, cunoscuți și sub numele de Fancy Bear sau Forest Blizzard, au exploatat routere vulnerabile din categoria SOHO (small-office/home-office). Aceștia au colectat date de autentificare și au modificat setările dispozitivelor pentru a deturna traficul de internet. Prin această metodă, hackerii au interceptat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare pe web, care în mod normal ar fi trebuit să fie protejate prin criptare SSL și TLS.
Cum funcționa rețeaua de spionaj a GRU
Potrivit comunicatului oficial, hackerii ruși au modificat setările protocolului de configurare dinamică a gazdei (DHCP) și ale sistemului de nume de domeniu (DNS) ale routerelor. Această manevră le-a permis să introducă în rețele rezolvatoare DNS controlate de ei. Astfel, tot traficul victimelor trecea prin serverele controlate de spionii GRU, permițându-le să colecteze date la scară largă fără a fi detectați imediat.
Țintele vizate erau specifice și de mare valoare.
Informațiile colectate erau legate de domeniul militar, guvernamental și de infrastructura critică a statelor occidentale. Furtul de date protejate prin criptare SSL și TLS arată un nivel ridicat de sofisticare tehnică, permițând atacatorilor să acceseze comunicații care ar fi trebuit să fie sigure.
Reacția președintelui României
Președintele României, Nicușor Dan, a reacționat în urma anunțului făcut de FBI, subliniind că acțiunea demonstrează continuarea războiului hibrid purtat de Rusia. Într-o postare pe Facebook, șeful statului a insistat pe necesitatea ca România să își îmbunătățească securitatea cibernetică și să continue colaborarea cu partenerii săi.
Acesta a menționat și implicarea directă a Serviciului Român de Informații în operațiune.
„FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a scris Nicușor Dan.
O coaliție internațională împotriva hackerilor ruși
Operațiunea de destructurare nu a fost doar un efort american. La acțiune au colaborat Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina. Această coaliție largă arată amploarea amenințării reprezentate de grupul APT28.
Și autoritățile au emis un avertisment public pentru a preveni viitoare atacuri.
Potrivit comunicatului comun, scopul anunțului este de a „avertiza publicul și a încuraja apărătorii rețelelor și proprietarii de dispozitive să ia măsuri pentru remedierea și reducerea suprafeței de atac a dispozitivelor de margine similare”. FBI și partenerii săi au subliniat importanța securizării routerelor și a altor dispozitive conectate la internet pentru a bloca astfel de intruziuni. Atacul a vizat în mod specific informații legate de armată, guvern și infrastructura critică.
