FBI a destructurat, alături de SRI și alte servicii speciale din NATO, un „atac informatic prelungit” al GRU, anunță Nicușor Dan

Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice.

 

Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a scris șeful statului.

 

„Actorii cibernetici ai Direcției Principale de Informații a Statului Major General rus (GRU) exploatează routere vulnerabile din întreaga lume pentru a intercepta și a fura informații sensibile din domeniul militar, guvernamental și al infrastructurilor critice. Departamentul de Justiție al SUA și FBI au dezarticulat recent o rețea a GRU formată din routere compromise din categoria SOHO (small-office home-office), utilizate pentru a facilita operațiuni rău intenționate de deturnare a serviciilor DNS. FBI și următorii parteneri publică acest anunț pentru a avertiza publicul și a încuraja apărătorii rețelelor și proprietarii de dispozitive să ia măsuri pentru a remedia și a reduce suprafața de atac a dispozitivelor de margine similare: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.

 

Încă din 2024, actorii cibernetici ai Centrului Principal de Servicii Speciale nr. 85 al GRU (85 GTsSS) din Rusia — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224. Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor pentru a introduce rezolvatoare DNS controlate de actori. Dispozitivele conectate, inclusiv laptopurile și telefoanele, moștenesc aceste setări modificate. Infrastructura controlată de actori rezolvă și capturează căutările pentru toate numele de domeniu. GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii — inclusiv Microsoft Outlook Web Access — permițând atacuri de tip adversar-în-mijloc (AitM) împotriva traficului criptat dacă utilizatorii ignoră o avertizare de eroare de certificat. Aceste atacuri AitM le-ar permite actorilor să vadă traficul necriptat.

GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și informații de navigare pe web, protejate în mod normal prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security). GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, apoi a filtrat utilizatorii afectați, vizând în special informații legate de armată, guvern și infrastructura critică.

FBI și partenerii săi au publicat îndrumări relevante și indicatori tehnici, printre care se numără avizul de securitate cibernetică al NCSC-UK intitulat „APT28 exploatează routerele pentru a facilita operațiuni de deturnare DNS”, emis luni, 6 aprilie 2026, precum și pagina web a CISA dedicată securității dispozitivelor periferice.

Utilizatorii de routere SOHO sunt încurajați să își actualizeze dispozitivele pentru care asistența tehnică a încetat, să instaleze cele mai recente versiuni de firmware, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță de pe internet. Toți utilizatorii ar trebui să acorde o atenție deosebită avertismentelor privind certificatele din browserele web și clienții de e-mail.

Organizațiile care permit munca la distanță ar trebui să revizuiască politicile relevante privind modul în care angajații accesează datele sensibile, cum ar fi utilizarea VPN-urilor și configurațiile de aplicații securizate. În plus, organizațiile pot lua în considerare stimularea angajaților să își actualizeze dispozitivele personale învechite implicate în accesul la distanță”, se arată în comunicatul FBI.