Rețea de spionaj a GRU destructurată de FBI și SRI. Nicușor Dan atacă Rusia
O rețea de spionaj cibernetic a Rusiei, care viza infrastructuri sensibile din mai multe state occidentale, a fost destructurată de FBI în cooperare cu parteneri internaționali, inclusiv Serviciul Român de Informații. Operațiunea a vizat agenți ai GRU, serviciul de informații al armatei ruse, care foloseau routere vulnerabile pentru a fura date.
Anunțul a fost făcut miercuri de președintele Nicușor Dan.
Nicușor Dan: Rusia continuă războiul hibrid
Într-o declarație fermă, șeful statului a acuzat Moscova că își continuă agresiunea împotriva țărilor occidentale prin mijloace neconvenționale. „FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice”, a transmis Nicușor Dan.
Și a continuat pe un ton la fel de direct: „Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”.
Cum funcționa rețeaua: Routerele de acasă, transformate în arme
Potrivit detaliilor publicate de FBI, operațiunea de spionaj era coordonată de Centrul Principal de Servicii Speciale 85 (85th GTsSS) al GRU, o unitate cunoscută și sub numele de APT28, Fancy Bear sau Forest Blizzard. Acești actori cibernetici exploatau routere vulnerabile folosite în birouri mici sau la domiciliu (SOHO) pentru a intercepta și fura informații. Operațiunea era activă cel puțin din anul 2024.
Mai exact, spionii ruși compromiteau routere, inclusiv modele TP-Link, folosind vulnerabilități cunoscute precum CVE-2023-50224. Odată ce obțineau acces, modificau setările DNS ale dispozitivelor. Astfel, tot traficul de internet de la dispozitivele conectate la acel router, precum laptopuri sau telefoane, era redirecționat prin servere controlate de GRU.
Această tehnică, numită deturnare DNS, le permitea să lanseze atacuri de tip „adversar-in-the-middle” (AitM). Chiar dacă traficul era criptat, atacatorii puteau captura parole, token-uri de autentificare și informații sensibile, cum ar fi e-mailuri sau date de navigare web. Utilizatorii primeau un avertisment de eroare de certificat în browser, dar dacă îl ignorau, datele lor deveneau complet expuse.
Deși rețeaua compromitea dispozitive la scară largă, fără discriminare, țintele finale erau filtrate cu atenție. GRU căuta în mod specific informații legate de armată, guvern și infrastructură critică din Statele Unite și alte țări aliate.
Recomandări pentru utilizatori și companii
În urma destructurării rețelei, FBI și partenerii săi, printre care se numără Agenția Națională de Securitate a SUA (NSA) și agenții din 15 alte țări, au publicat o serie de sfaturi pentru public. Utilizatorii de routere pentru acasă sau birouri mici sunt încurajați să actualizeze dispozitivele la cele mai recente versiuni de firmware și să schimbe numele de utilizator și parolele implicite. O altă măsură importantă este dezactivarea interfețelor de management la distanță de pe internet.
Companiile care permit angajaților să lucreze de la distanță sunt sfătuite să își revizuiască politicile de securitate. Utilizarea rețelelor private virtuale (VPN) și a configurațiilor securizate pentru aplicații este necesară pentru a proteja datele sensibile. si, organizațiile ar putea stimula angajații să își actualizeze dispozitivele personale învechite pe care le folosesc pentru a accesa rețeaua companiei.
Operațiunea a implicat o colaborare internațională extinsă. Pe lângă România și SUA, la efort au participat Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, Slovacia și Ucraina.
