Serviciul Român de Informaţii (SRI), prin intermediul Centrului Naţional Cyberint, a participat alături de comunitatea internaţională de intelligence, la operaţiunea Masquerade, soldată cu destructurarea unei rețele de spionaj a Rusiei care pirata routerele vulnerabile și culegea informații militare, guvernamentale și din domeniul infrastructurii critice din zeci de țări.
La operațiunea derulată de FBI au participat servicii de informații din alte 14 țări: Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia şi Ucraina.
Operațiunea Masquerade a constat în blocarea unei infrastructuri de atac formată din dispozitive de comunicaţii (routere), utilizată de grupul de hackeri ruși APT28/ FANCY BEAR. Acesta este coordonat de Direcţia Principală de Informaţii a Statului Major General rus (GRU).
Ce a descoperit FBI
Conform Biroului Federal de Investigații, GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice.
Departamentul american al Justiţiei consemnează că ”serviciile de informaţii militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”
Prin intermediul reţelei de atac, hackerii au colectat date care în mod normal sunt protejate de protocoale informatice.
FBI a emis un anunţ "pentru a avertiza publicul şi pentru a încuraja pe cei care asigură protecţia reţelelor şi proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităţilor şi reducerea zonei de atac a unor dispozitive similare de tip edge”, a precizat FBI, într-un comunicat.
Ce au furat hackerii ruși
Cel puţin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuţi şi sub denumirile APT28, Fancy Bear şi Forest Blizzard – au colectat credenţiale şi au exploatat routere vulnerabile la nivel global, inclusiv prin compromiterea unor routere TP-Link folosind o vulnerabilitate specifică, precizează FBI.
GRU a colectat:
- parole;
- token-uri de autentificare;
- informaţii sensibile;
- e-mailuri;
- date de navigare web.
”GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice”, indică FBI.
Ce recomandă SRI
Potrivit SRI, modul de operare al grupării evidenţiază necesitatea adoptării unor măsuri de protecţie din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office), precum:
- înlocuirea dispozitivelor End-of-Life şi End-of-Support, pentru care producătorii nu mai emit actualizări; realizarea actualizărilor de firmware;
- verificarea autenticităţii conexiunilor realizate de dispozitivele de reţea;
- revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanţă.
Reacția lui Nicușor Dan
Preşedintele Nicuşor Dan a reacționat pe marginea acestui subiect. Rusia continuă războiul hibrid, iar România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali, arată șeful statului.
”FBI, împreună cu mai mulţi parteneri, printre care SRI, a anunţat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice”, scrie preşedintele pe Facebook.
”Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta”, mai spune şeful statului.
Potrivit preşedintelui, ”România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”.