UPDATE: Anunțul SRI după destructurarea rețelei de spionaj cibernetic a Rusiei: atacurile vizau România și alte țări europene

O amplă operațiune internațională coordonată de FBI, în colaborare cu Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali, inclusiv Serviciul Român de Informații (SRI), a dus la destructurarea unei rețele de atacuri cibernetice atribuite serviciului de informații al armatei ruse (GRU), care viza instituții guvernamentale, infrastructura critică și organizații strategice din Europa, inclusiv din România.

UDPATE

„Serviciul Român de Informații, prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care s-a reușit disruperea unei infrastructuri de atac formate din dispozitive de comunicații (routere), utilizate de actorul cibernetic rus APT28/ FANCY BEAR, atribuit GRU.

Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental.

Modul de operare al actorului cibernetic evidențiază necesitatea adoptării unor măsuri de protecție din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office – echipamente pentru lucru de acasă sau birouri mici), precum:

• înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;
• realizarea actualizărilor de firmware;
• verificarea autenticității conexiunilor realizate de dispozitivele de rețea;
• revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanță.

Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac.”, arată un comunicat emis de SRI.

Știre inițială:

Ce a descoperit ancheta

Ancheta a stabilit că rețeaua era operată de actori afiliați serviciului de informații al armatei ruse și acționa la nivel global, inclusiv în Europa. Autoritățile au identificat că membrii grupării, asociați GRU, colectau informații militare, guvernamentale și legate de infrastructuri critice.

Operațiunea a fost coordonată de FBI, în colaborare cu Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali, printre care se numără și România, prin SRI. Autoritățile au reușit să neutralizeze o infrastructură vastă de atac bazată pe mii de dispozitive compromise, folosite pentru interceptarea datelor și lansarea de atacuri informatice.

Cum funcționa rețeaua

Potrivit anchetatorilor, atacatorii au exploatat vulnerabilități din routere utilizate în locuințe și birouri, modificând setările acestora pentru a redirecționa traficul de internet. Astfel, fără ca utilizatorii să știe, hackerii puteau intercepta parole, e-mailuri și alte informații sensibile, inclusiv date protejate prin sisteme de securitate.

În unele cazuri, victimele erau redirecționate către pagini false, unde datele de autentificare erau capturate în timp real. După compromiterea unui număr mare de dispozitive, hackerii selectau ținte de interes, în special din domenii sensibile precum sectorul guvernamental, militar sau infrastructura critică.

Implicarea SRI în operațiune

Președintele României, Nicușor Dan, a confirmat implicarea SRI în operațiune și avertizează că Rusia continuă războiul hibrid împotriva statelor occidentale.

Autoritățile avertizează că astfel de atacuri pot continua și recomandă utilizatorilor să își actualizeze echipamentele, să schimbe parolele implicite și să evite ignorarea avertismentelor de securitate. De asemenea, companiile și instituțiile sunt sfătuite să își revizuiască sistemele de protecție și să limiteze accesul la date sensibile prin rețele nesecurizate.