O amplă operațiune internațională coordonată de autorități din mai multe state, inclusiv România, a dus la destructurarea unei rețele de atacuri cibernetice atribuite serviciilor secrete militare ruse. Gruparea ar fi vizat furtul de informații sensibile din instituții guvernamentale, infrastructură critică și organizații strategice.
Nicușor Dan: România trebuie să să-și îmbunătățească securitatea cibernetică
Președintele României, Nicușor Dan, avertizează că Rusia continuă războiul hibrid împotriva statelor occidentale, după ce FBI și mai mulți parteneri internaționali, inclusiv SRI, au anunțat destructurarea unei rețele de atacuri cibernetice care viza infrastructuri sensibile. „Actorii cibernetici asociați GRU colectau informații militare, guvernamentale și legate de infrastructuri critice. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a transmis Nicușor Dan.
Potrivit unui anunț oficial, rețeaua era operată de actori afiliați serviciului de informații al armatei ruse și acționa la nivel global, inclusiv în Europa.
Operațiune comună FBI – parteneri internaționali, inclusiv România
Acțiunea a fost coordonată de FBI, în colaborare cu Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali, printre care se numără și România.
Autoritățile au reușit să neutralizeze o infrastructură vastă de atac, bazată pe mii de dispozitive compromise, folosite pentru interceptarea datelor și lansarea de atacuri informatice.
Cum funcționa rețeaua: atacuri invizibile prin routere
Potrivit anchetatorilor, hackerii au exploatat vulnerabilități din routere utilizate în locuințe și birouri, modificând setările acestora pentru a redirecționa traficul de internet.
Astfel, fără ca utilizatorii să știe, atacatorii puteau intercepta parole, e-mailuri și alte informații sensibile, inclusiv date protejate prin sisteme de securitate.
În unele cazuri, victimele erau redirecționate către pagini false, unde datele de autentificare erau capturate în timp real.
Ținte: instituții guvernamentale și infrastructură critică
Ancheta arată că atacurile nu au fost aleatorii. După compromiterea unui număr mare de dispozitive, hackerii selectau ținte de interes, în special din domenii sensibile precum sectorul guvernamental, militar sau infrastructura critică.
Operațiunile sunt atribuite unei unități cunoscute a serviciilor ruse, implicată în multiple atacuri cibernetice la nivel global.
Avertisment pentru populație și companii
Autoritățile avertizează că astfel de atacuri pot continua și recomandă utilizatorilor să își actualizeze echipamentele, să schimbe parolele implicite și să evite ignorarea avertismentelor de securitate.
De asemenea, companiile și instituțiile sunt sfătuite să își revizuiască sistemele de protecție și să limiteze accesul la date sensibile prin rețele nesecurizate.
UPDATE - SRI a contribuit alături de comunitatea internațională la stoparea unor atacuri cibernetice atribuite GRU
Serviciul Român de Informații, prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care s-a reușit disruperea unei infrastructuri de atac formate din dispozitive de comunicații (routere), utilizate de actorul cibernetic rus APT28/ FANCY BEAR, atribuit GRU.
Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental.
Modul de operare al actorului cibernetic evidențiază necesitatea adoptării unor măsuri de protecție din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office - echipamente pentru lucru de acasă sau birouri mici), precum:
înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;
realizarea actualizărilor de firmware;
verificarea autenticității conexiunilor realizate de dispozitivele de rețea;
revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanță.
Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac.
Comentează