RĂZBOI HIBRID. FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice, susține președintele României, într-o postare pe pagina personală de Facebook.
Serviciul Român de Informații (SRI), prin Centrul Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care a fost destructurată o infrastructură de atac formată din routere folosite de actorul cibernetic rus.
”Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali.” a mai transmis Nicușor Dan.
Conform comunicatului FBI, actorii cibernetici din cadrul Direcției Principale de Informații a Statului Major General (GRU) din Rusia exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile despre infrastructura militară, guvernamentală și critică. Departamentul de Justiție al SUA și FBI au dislocat recent o rețea GRU de routere compromise la birouri mici sau de acasă (SOHO), utilizate pentru a facilita operațiuni de deturnare DNS malițioasă.
FBI, împreună cu parteneri din statele aliate, au publicat acest anunț pentru a avertiza publicul și a încuraja apărătorii de rețele și proprietarii de dispozitive să ia măsuri pentru a remedia și reduce mijloacele de atac a dispozitivelor similare. La cest aspect lucrează atât Agenția Națională de Securitate a SUA (NSA) cât și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
Cum se derulează operațiunile de deturnare DNS
Cel puțin din anul 2024, actorii cibernetici din cadrul Centrului Principal de Servicii Speciale 85 (GTsSS) al GRU rusesc – cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard – au colectat acreditări și au exploatat routere vulnerabile la nivel mondial. Aceștia au compromis inclusiv routere TP-Link.
GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și informații de navigare web, protejate în mod normal prin criptare Secure Socket Layer (SSL) și Transport Layer Security (TLS). GRU a compromis fără discriminare o gamă largă de victime din SUA și din întreaga lume și apoi a filtrat utilizatorii afectați, vizând în special informații legate de armată, guvern și infrastructură critică.
Sfaturile FBI pentru a vă proteja
FBI și partenerii săi au publicat îndrumări și indicatori tehnici relevanți, inclusiv un aviz de securitate cibernetică.
Utilizatorii de routere (personale/birouri) SOHO sunt încurajați să-și actualizeze dispozitivele, mai ales cele la care a încetat perioada de asistență, la cele mai recente versiuni de firmware, să modifice numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță de pe internet. Toți utilizatorii ar trebui să ia în considerare cu atenție avertismentele privind certificatele din browserele web și clienții de e-mail.
