O amplă operațiune internațională, coordonată de FBI și cu implicarea SRI, a reușit să destructureze un atac cibernetic complex și de lungă durată.
Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, au fost identificați ca responsabili. Aceștia vizau infrastructuri sensibile din numeroase state occidentale, având ca scop colectarea de informații militare, guvernamentale și legate de infrastructura critică.
Ultima oră
Destinația finală: Constanța! Sute de turiști străini au sosit astăzi cu nava Viking Kadlin
11 apr., 17:39
IPS Teodosie despre Lumina Învierii: Un mesaj esențial de Paște pentru credincioși
11 apr., 17:30
Lumina Sfântă de la Ierusalim ajunge în România în jurul orei 18.30
11 apr., 15:26
Cozonacii arși, o scuză pentru cei 176 km/h: O șoferiță a rămas fără permis
11 apr., 14:18
Departamentul de Justiție al SUA și FBI au perturbat o rețea extinsă de routere compromise pentru birouri mici și acasă (SOHO), exploatate de GRU. Acestea erau utilizate pentru a facilita operațiuni malițioase de deturnare DNS, confirmând natura continuă a războiului hibrid.
Printre partenerii internaționali care au colaborat la această acțiune se numără agenții din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina, alături de Agenția Națională de Securitate a SUA (NSA).
Începând cu cel puțin 2024, grupurile cibernetice ale GRU, cunoscute și sub denumirile APT28, Fancy Bear sau Forest Blizzard, au colectat acreditări și au exploatat routere vulnerabile la nivel mondial, inclusiv modelul TP-Link, profitând de vulnerabilitatea CVE-2023-50224.
Modificând setările protocolului de configurare dinamică a gazdei (DHCP) și sistemului de nume de domeniu (DNS), atacatorii introduceau rezolvere DNS controlate. Astfel, dispozitivele conectate – de la laptopuri la telefoane – preluau aceste setări alterate.
Infrastructura controlată de GRU intercepta căutările pentru toate numele de domeniu și furniza răspunsuri DNS frauduloase, în special pentru servicii precum Microsoft Outlook Web Access. Aceasta permitea atacuri de tip adversar-in-the-middle (AitM), prin care traficul criptat putea fi vizualizat dacă utilizatorii ignorau avertismentele de eroare de certificat.
În acest mod, GRU a reușit să fure parole, token-uri de autentificare și alte informații sensibile – inclusiv e-mailuri și istoricul de navigare – protejate în mod normal prin SSL și TLS. Victimele au fost selectate dintr-o gamă largă, la nivel global, cu un accent deosebit pe ținte militare, guvernamentale și de infrastructură critică.
FBI și partenerii săi au emis ghiduri detaliate și indicatori tehnici pentru a ajuta la protecție, inclusiv avizul NCSC-UK „APT28 exploitează routerele pentru a permite operațiuni de deturnare DNS” și pagina CISA despre securitatea dispozitivelor Edge.
Proprietarii de routere SOHO sunt sfătuiți să actualizeze firmware-ul, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță. Toți utilizatorii trebuie să fie atenți la avertismentele de certificat din browserele web și aplicațiile de e-mail.
Organizațiile care permit lucrul la distanță ar trebui să-și revizuiască politicile de acces la date sensibile, încurajând utilizarea VPN-urilor și a aplicațiilor securizate. De asemenea, pot stimula angajații să-și actualizeze dispozitivele personale învechite folosite pentru accesul la distanță.
Dacă suspectați că ați fost victima unei intruziuni cibernetice a GRU, contactați biroul local FBI sau depuneți o plângere la IC3. Asigurați-vă că includeți detalii despre routerul dumneavoastră, inclusiv tipul și configurațiile DHCP.
