O amplă operațiune internațională, coordonată de FBI și cu implicarea SRI, a reușit să destructureze un atac cibernetic complex și de lungă durată.
Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, au fost identificați ca responsabili. Aceștia vizau infrastructuri sensibile din numeroase state occidentale, având ca scop colectarea de informații militare, guvernamentale și legate de infrastructura critică.
Departamentul de Justiție al SUA și FBI au perturbat o rețea extinsă de routere compromise pentru birouri mici și acasă (SOHO), exploatate de GRU. Acestea erau utilizate pentru a facilita operațiuni malițioase de deturnare DNS, confirmând natura continuă a războiului hibrid.
Printre partenerii internaționali care au colaborat la această acțiune se numără agenții din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina, alături de Agenția Națională de Securitate a SUA (NSA).
Începând cu cel puțin 2024, grupurile cibernetice ale GRU, cunoscute și sub denumirile APT28, Fancy Bear sau Forest Blizzard, au colectat acreditări și au exploatat routere vulnerabile la nivel mondial, inclusiv modelul TP-Link, profitând de vulnerabilitatea CVE-2023-50224.
Modificând setările protocolului de configurare dinamică a gazdei (DHCP) și sistemului de nume de domeniu (DNS), atacatorii introduceau rezolvere DNS controlate. Astfel, dispozitivele conectate – de la laptopuri la telefoane – preluau aceste setări alterate.
Infrastructura controlată de GRU intercepta căutările pentru toate numele de domeniu și furniza răspunsuri DNS frauduloase, în special pentru servicii precum Microsoft Outlook Web Access. Aceasta permitea atacuri de tip adversar-in-the-middle (AitM), prin care traficul criptat putea fi vizualizat dacă utilizatorii ignorau avertismentele de eroare de certificat.
În acest mod, GRU a reușit să fure parole, token-uri de autentificare și alte informații sensibile – inclusiv e-mailuri și istoricul de navigare – protejate în mod normal prin SSL și TLS. Victimele au fost selectate dintr-o gamă largă, la nivel global, cu un accent deosebit pe ținte militare, guvernamentale și de infrastructură critică.
FBI și partenerii săi au emis ghiduri detaliate și indicatori tehnici pentru a ajuta la protecție, inclusiv avizul NCSC-UK „APT28 exploitează routerele pentru a permite operațiuni de deturnare DNS” și pagina CISA despre securitatea dispozitivelor Edge.
Proprietarii de routere SOHO sunt sfătuiți să actualizeze firmware-ul, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță. Toți utilizatorii trebuie să fie atenți la avertismentele de certificat din browserele web și aplicațiile de e-mail.
Organizațiile care permit lucrul la distanță ar trebui să-și revizuiască politicile de acces la date sensibile, încurajând utilizarea VPN-urilor și a aplicațiilor securizate. De asemenea, pot stimula angajații să-și actualizeze dispozitivele personale învechite folosite pentru accesul la distanță.
Dacă suspectați că ați fost victima unei intruziuni cibernetice a GRU, contactați biroul local FBI sau depuneți o plângere la IC3. Asigurați-vă că includeți detalii despre routerul dumneavoastră, inclusiv tipul și configurațiile DHCP.
