O amplă operațiune internațională coordonată de FBI, cu participarea SRI, a dus la destructurarea unei rețele cibernetice globale operate de GRU, care exploata routere vulnerabile pentru a fura date sensibile din domenii critice.
Prin intermediul reţelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare şi date sensibile, inclusiv e-mailuri şi istoricul căutărilor pe internet, informaţii care în mod normal sunt protejate de protocoale SSL (secure socket layer) şi TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entităţi de la nivel global şi a filtrat victimele, vizând în special informaţii din domeniile militar, guvernamental şi infrastructuri critice.
”Modul de operare al actorului cibernetic evidenţiază necesitatea adoptării unor măsuri de protecţie din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office), precum: înlocuirea dispozitivelor End-of-Life şi End-of-Support, pentru care producătorii nu mai emit actualizări; realizarea actualizărilor de firmware; verificarea autenticităţii conexiunilor realizate de dispozitivele de reţea; revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanţă”, precizează SRI.
DEPARTAMENTUL AMERICAN AL JUSTIŢIEI: Serviciile de informaţii militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice
”Astăzi, Departamentul de Justiţie al SUA şi FBI au anunţat o operaţiune tehnică autorizată de instanţă pentru neutralizarea componentei din SUA a unei reţele de routere de tip small office/home office (SOHO) compromise de o unitate din cadrul Direcţiei Principale de Informaţii a Statului Major General al Rusiei (GRU), Unitatea Militară 26165, cunoscută şi sub denumirile APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear şi Sednit. Unitatea a folosit aceste routere pentru a facilita operaţiuni maliţioase de deturnare a sistemului de nume de domeniu (DNS) împotriva unor ţinte de interes informativ la nivel global pentru guvernul rus, inclusiv persoane din domeniul militar, guvernamental şi al infrastructurilor critice”, precizează instituţia într-un comunicat datat 7 aprilie.
„Utilizarea abuzivă de către GRU a reţelelor din locuinţele şi companiile americane pentru operaţiuni cibernetice maliţioase rămâne o ameninţare gravă şi persistentă”, a declarat procurorul general adjunct pentru securitate naţională, John A. Eisenberg. „Divizia de Securitate Naţională va continua să folosească toate instrumentele disponibile pentru a detecta astfel de intruziuni şi pentru a elimina actorii străini ostili din reţelele noastre”, a completat el.
„Serviciile de informaţii militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”, a declarat procurorul federal pentru Districtul de Est al Pennsylvaniei, David Metcalf.
„În faţa agresiunii continue din partea adversarilor statali, guvernul SUA va răspunde la fel de ferm. Lucrând împreună cu FBI – şi cu partenerii noştri din întreaga lume – suntem hotărâţi să perturbăm şi să expunem astfel de ameninţări la adresa securităţii cibernetice a naţiunii”, a spus el.
„Operaţiunea Masquerade demonstrează angajamentul FBI de a identifica, expune şi contracara eforturile guvernului rus de a compromite dispozitive americane, de a fura informaţii sensibile şi de a viza infrastructuri critice”, a declarat directorul adjunct Brett Leatherman, din cadrul Diviziei Cibernetice a FBI.
FBI: ”GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice
Actori cibernetici ai Direcţiei Principale de Informaţii a Statului Major General al Rusiei (GRU) exploatează routere vulnerabile la nivel global pentru a intercepta şi a fura informaţii sensibile din domeniul militar, guvernamental şi al infrastructurilor critice. Departamentul de Justiţie al SUA şi FBI au destructurat recent o reţea GRU formată din routere compromise de tip small-office/home-office (SOHO), utilizate pentru a facilita operaţiuni maliţioase de deturnare DNS.
”FBI şi următorii parteneri emit acest anunţ pentru a avertiza publicul şi pentru a încuraja pe cei care asigură protecţia reţelelor şi proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităţilor şi reducerea zonei de atac a unor dispozitive similare de tip edge: Agenţia Naţională de Securitate a SUA (NSA) şi parteneri internaţionali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia şi Ucraina”, a precizat FBI.
CUM ACŢIONAU
Cel puţin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuţi şi sub denumirile APT28, Fancy Bear şi Forest Blizzard – au colectat credenţiale şi au exploatat routere vulnerabile la nivel global, inclusiv compromiţând routere TP-Link folosind vulnerabilitatea CVE-2023-50224, precizează FBI.
GRU a colectat parole, tokenuri de autentificare şi informaţii sensibile, inclusiv e-mailuri şi date de navigare web, care sunt în mod normal protejate prin criptare SSL (Secure Socket Layer) şi TLS (Transport Layer Security).
”GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice”, indică FBI.
