SRI, prin intermediul Centrului Naţional Cyberint, a participat alături de comunitatea internaţională de intelligence, la operaţiunea Masquerade, prin care s-a reuşit destructurarea unei infrastructuri de atac formată din dispozitive de comunicaţii (routere), anunță Serviciul Român de Informații.
Infrastructura era utilizată de actorul cibernetic rus APT28 (sau FANCY BEAR), grup atribuit GRU specializat în spionaj militar prin penetrarea rețelelor și computerelor unor instituții importante occidentale.
Acțiunile hackerilor ruși a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac.
„Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”, menționează SRI.
Conform FBI, GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice.
Departamentul american al justiţiei (DOJ) consemnează că ”Serviciile de informaţii militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”
Prin intermediul reţelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare şi date sensibile, inclusiv e-mailuri şi istoricul căutărilor pe internet, informaţii care în mod normal sunt protejate de protocoale SSL (secure socket layer) şi TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entităţi de la nivel global şi a filtrat victimele, vizând în special informaţii din domeniile militar, guvernamental şi infrastructuri critice.
”Modul de operare al actorului cibernetic evidenţiază necesitatea adoptării unor măsuri de protecţie din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office), precum: înlocuirea dispozitivelor End-of-Life şi End-of-Support, pentru care producătorii nu mai emit actualizări; realizarea actualizărilor de firmware; verificarea autenticităţii conexiunilor realizate de dispozitivele de reţea; revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanţă”, precizează SRI.
DOJ: Serviciile de informaţii militare ruse au deturnat echipamentele americanilor pentru a acapara date critice
”Astăzi, Departamentul de Justiţie al SUA şi FBI au anunţat o operaţiune tehnică autorizată de instanţă pentru neutralizarea componentei din SUA a unei reţele de routere de tip small office/home office (SOHO) compromise de o unitate din cadrul Direcţiei Principale de Informaţii a Statului Major General al Rusiei (GRU), Unitatea Militară 26165, cunoscută şi sub denumirile APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear şi Sednit. Unitatea a folosit aceste routere pentru a facilita operaţiuni maliţioase de deturnare a sistemului de nume de domeniu (DNS) împotriva unor ţinte de interes informativ la nivel global pentru guvernul rus, inclusiv persoane din domeniul militar, guvernamental şi al infrastructurilor critice”, precizează instituţia într-un comunicat datat 7 aprilie.
„Utilizarea abuzivă de către GRU a reţelelor din locuinţele şi companiile americane pentru operaţiuni cibernetice maliţioase rămâne o ameninţare gravă şi persistentă”, a declarat procurorul general adjunct pentru securitate naţională, John A. Eisenberg. „Divizia de Securitate Naţională va continua să folosească toate instrumentele disponibile pentru a detecta astfel de intruziuni şi pentru a elimina actorii străini ostili din reţelele noastre”, a completat el.
„Serviciile de informaţii militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”, a declarat procurorul federal pentru Districtul de Est al Pennsylvaniei, David Metcalf.
„În faţa agresiunii continue din partea adversarilor statali, guvernul SUA va răspunde la fel de ferm. Lucrând împreună cu FBI – şi cu partenerii noştri din întreaga lume – suntem hotărâţi să perturbăm şi să expunem astfel de ameninţări la adresa securităţii cibernetice a naţiunii”, a spus el.
„Operaţiunea Masquerade demonstrează angajamentul FBI de a identifica, expune şi contracara eforturile guvernului rus de a compromite dispozitive americane, de a fura informaţii sensibile şi de a viza infrastructuri critice”, a declarat directorul adjunct Brett Leatherman, din cadrul Diviziei Cibernetice a FBI.
FBI: ”GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice
Actori cibernetici ai Direcţiei Principale de Informaţii a Statului Major General al Rusiei (GRU) exploatează routere vulnerabile la nivel global pentru a intercepta şi a fura informaţii sensibile din domeniul militar, guvernamental şi al infrastructurilor critice. Departamentul de Justiţie al SUA şi FBI au destructurat recent o reţea GRU formată din routere compromise de tip small-office/home-office (SOHO), utilizate pentru a facilita operaţiuni maliţioase de deturnare DNS.
”FBI şi următorii parteneri emit acest anunţ pentru a avertiza publicul şi pentru a încuraja pe cei care asigură protecţia reţelelor şi proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităţilor şi reducerea zonei de atac a unor dispozitive similare de tip edge: Agenţia Naţională de Securitate a SUA (NSA) şi parteneri internaţionali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia şi Ucraina”, a precizat FBI.
Metoda de operare
Modul de operare al actorului cibernetic evidențiază necesitatea adoptării unor măsuri de protecție din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office – echipamente pentru lucru de acasă sau birouri mici), precum:
- înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;
- realizarea actualizărilor de firmware;
- verificarea autenticității conexiunilor realizate de dispozitivele de rețea;
- revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanță.
Cel puţin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuţi şi sub denumirile APT28, Fancy Bear şi Forest Blizzard – au colectat credenţiale şi au exploatat routere vulnerabile la nivel global, inclusiv compromiţând routere TP-Link folosind vulnerabilitatea CVE-2023-50224, precizează FBI.
GRU a colectat parole, tokenuri de autentificare şi informaţii sensibile, inclusiv e-mailuri şi date de navigare web, care sunt în mod normal protejate prin criptare SSL (Secure Socket Layer) şi TLS (Transport Layer Security).
”GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, după care a filtrat utilizatorii afectaţi, vizând în special informaţii legate de domeniul militar, guvernamental şi infrastructurile critice”, indică FBI.
Președintele Dan: Rusia continuă războiul hibrid. România trebuie să-şi îmbunătăţească securitatea cibernetică
Preşedintele Nicuşor Dan a declarat, miercuri, după ce serviciile de informații din mai multe state au publicat în mod coordonat reușita împotriva GRUe, că Rusia continuă războiul hibrid iar România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali.
”FBI, împreună cu mai mulţi parteneri, printre care SRI, a anunţat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice”, scrie preşedintele pe Facebook.
”Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta”, mai spune şeful statului.
Potrivit preşedintelui, ”România trebuie să să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”.
(Citește și: Bitdefender: România, pe lista țărilor vizate de o grupare de spionaj și furt de date sensibile de la instituții publice și diplomatice )
****
Urmărește-ne pe Google News
