O amplă campanie de spionaj cibernetic, atribuită grupării rusești Fancy Bear, a fost destructurată de autoritățile occidentale, în frunte cu FBI. Operațiunea a vizat instituții militare, guvernamentale și infrastructuri critice din mai multe țări, iar România, prin SRI, s-a numărat printre partenerii implicați, potrivit adevarul.ro.
Gruparea de hackeri Fancy Bear, considerată afiliată serviciului de informații militare rus GRU, se află în spatele unei campanii extinse de spionaj cibernetic, au anunțat agențiile de securitate din Statele Unite și Europa, citate de Politico.
Ancheta, desfășurată în colaborare de servicii de informații și autorități din SUA, Canada, Ucraina, România, Germania, Italia, Polonia și alte state, a scos la iveală o operațiune de amploare care viza exploatarea routerelor Wi-Fi slab securizate.
Potrivit Serviciului de Securitate al Ucrainei (SBU), hackerii au reușit să colecteze „parole, token-uri de autentificare și alte informații sensibile, inclusiv e-mailuri”, ocolind protocoalele de securitate și sistemele de criptare.
Datele obținute au fost folosite ulterior pentru atacuri cibernetice, acțiuni de sabotaj informațional și operațiuni de spionaj, țintele fiind în special instituții militare, guvernamentale și infrastructuri critice.
FBI: rețeaua GRU a fost destructurată
Autoritățile americane au confirmat că rețeaua a fost recent destructurată. Într-un comunicat oficial, FBI a arătat că operațiunea a fost realizată împreună cu parteneri internaționali, inclusiv Serviciul Român de Informații.
„Actorii cibernetici din cadrul Direcției Principale de Informații a Statului Major General (GRU) din Rusia exploatează routere vulnerabile la nivel mondial pentru a intercepta și fura informații sensibile despre armată, guvern și infrastructură critică. Departamentul de Justiție al SUA și FBI-ul au destructurat recent o rețea GRU de routere compromise folosite pentru a facilita operațiuni de deturnare DNS”, se arată în comunicat.
Instituția a subliniat că anunțul are și rolul de a avertiza publicul și administratorii de rețele cu privire la riscurile existente, îndemnând la măsuri urgente de securizare a dispozitivelor.
Potrivit anchetatorilor, hackerii au început să exploateze vulnerabilitățile unor routere, inclusiv modele populare TP-Link, încă din 2024. Prin compromiterea acestora, au reușit să intercepteze traficul de date de pe telefoane mobile și laptopuri, ocolind inclusiv sistemele de criptare.
Campania a fost atribuită grupării Fancy Bear, cunoscută și sub numele de APT28 sau Forest Blizzard, despre care oficialii occidentali susțin de mult timp că acționează în coordonare cu GRU.
Reacția lui Nicușor Dan: „Rusia continuă războiul hibrid”
În contextul dezvăluirilor, Nicușor Dan a reacționat public, subliniind gravitatea situației și necesitatea consolidării securității cibernetice.
Cum a blocat SRI infrastructura de atac a hackerilor ruși
Serviciul Român de Informații (SRI), prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care a fost disruptă o infrastructură de atac cibernetic atribuită grupului rus APT28, cunoscut și sub numele de Fancy Bear, parte a GRU.
„Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”, a anunțat SRI.
SRI atrage atenția asupra măsurilor de protecție necesare pentru utilizatorii de dispozitive SOHO (small-office home-office – echipamente pentru birouri mici sau lucru de acasă):
- înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;
- realizarea regulată a actualizărilor de firmware;
- verificarea autenticității conexiunilor realizate de echipamentele de rețea;
- revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate.
„Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac”, a transmis SRI.
