SRI a destructurat, alături de FBI și servicii de informații din alte 14 țări, o rețea a spionajului rus GRU specializată în furtul de informații militare, guvernamentale și din domeniul infrastructurii critice din zeci de state, prin accesarea routerelor vulnerabile, majoritatea TP-Link.
Oficiul Federal pentru apărarea Constituției (BfV), Serviciul Federal de Informații (BND), Agenția americană de Securitate (NSA) și FBI atrag atenția asupra atacurilor cibernetice executate de grupul de hackeri ruși APT-28 (cunoscut și ca Forest Blizzard sau Fancy Bear), cu legături cu agenția de informații militare externe (GRU) a Federației Ruse.
APT-28 a accesat mii de dispozitive TP-Link la nivel mondial. Operatorii dispozitivelor au primit deja recomandări pentru întărirea securității în fața unor potențiale atacuri cibernetice viitoare, în timp ce multe dintre routere au fost înlocuite.
Și Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie a anunțat că unitatea de hackeri a obținut accesul la routere folosite în UK, redirecționând în mod ascuns traficul de internet al utilizatorilor prin servere aflate sub controlul lor. În acest fel, infractorii cibernetici pot fura detalii de conectare sau alte informații sensibile. Pe lângă TP-Link, NCSC a arătat că și dispozitivele MikroTik sunt vulnerabile.
În anunțul său, NSA a subliniat că Departamentul american de Justiție, FBI și partenerii internaționali au perturbat recent activitatea GRU în rețeaua compromisă de routere pentru birouri. NSA a recomandat celor care folosesc routere SOHO să schimbe numele de utilizator și parolele implicite, să facă update la cele mai recente versiuni de firmware și să schimbe dispozitivele care nu mai primesc actualizări de suport.
Anunțuri de avertizare au lansat și partenerii FBI din mai multe țări din Europa, între care România, Polonia, Italia, Ucraina, Slovacia, Țările Baltice, țările nordice și Cehia.
Financial Times amintește că APT-28 este responsabil pentru atacuri cibernetice asupra Bundestagului din 2015, a sediului partidului SPD din 2023 și asupra sistemului de control al traficului aerian din august 2024. De asemenea, a fost implicat în atacuri cibernetice asupra Comitetului Național Democrat din SUA și centrelor logistice occidentale care sprijină Ucriana.
TP-Link a mai fost identificată anterior de experții americani ca fiind ținta unor atacuri cibernetice de amploare din partea Chinei, care au fost descoperite în 2023 și 2024, în așa-numitele operațiuni “Salt Typhoon” și “Volt Typhoon”.
Luna trecută, SUA au interzis importul de routere din străinătate din motive de securitate, susținând că acestea constituie o vulnerabilitate în lanțul de aprovizionare.
Comunicatul integral:
GRU din Rusia exploatează routere vulnerabile pentru a fura informații sensibile
Actorii cibernetici ai Direcției Principale de Informații a Statului Major Rus (GRU) exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice. Departamentul de Justiție al SUA și FBI au perturbat recent o rețea GRU de routere compromise de tip SOHO (small-office home-office), utilizate pentru a facilita operațiuni malițioase de deturnare DNS (DNS hijacking). FBI și următorii parteneri publică acest anunț pentru a avertiza publicul și pentru a încuraja administratorii de rețele și posesorii de dispozitive să ia măsuri de remediere și de reducere a suprafeței de atac a dispozitivelor de rețea similare: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
Înțelegerea operațiunilor de deturnare DNS
Cel puțin din anul 2024, actorii cibernetici ai Centrului 85 Principal de Servicii Speciale al GRU (85 GTsSS) — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224. Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor pentru a introduce servere de rezoluție DNS controlate de aceștia. Dispozitivele conectate, inclusiv laptopurile și telefoanele, moștenesc aceste setări modificate. Infrastructura controlată de atacatori rezolvă și captează interogările pentru toate numele de domenii. GRU oferă răspunsuri DNS frauduloase pentru domenii și servicii specifice — inclusiv Microsoft Outlook Web Access — permițând atacuri de tip „adversary-in-the-middle” (AitM) împotriva traficului criptat, dacă utilizatorii ignoră avertismentele de eroare de certificat. Aceste atacuri AitM ar permite actorilor să vadă traficul necriptat.
GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web care, în mod normal, sunt protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security). GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, filtrând ulterior utilizatorii afectați și vizând în special informațiile legate de armată, guvern și infrastructură critică.
Sfaturi pentru a vă proteja
FBI și partenerii săi au publicat ghiduri relevante și indicatori tehnici, inclusiv avertizarea de securitate cibernetică a NCSC-UK „APT28 exploit routers to enable DNS hijacking operations” din 07 aprilie 2026 și pagina web a CISA dedicată securității dispozitivelor de rețea (Edge Device Security).
Utilizatorii de routere SOHO sunt încurajați să înlocuiască dispozitivele care nu mai beneficiază de asistență (end-of-support), să actualizeze firmware-ul la cele mai recente versiuni, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de administrare de la distanță dinspre Internet. Toți utilizatorii ar trebui să analizeze cu atenție avertismentele de certificat din browserele web și clienții de e-mail.
Organizațiile care permit munca la distanță ar trebui să revizuiască politicile relevante privind modul în care angajații accesează datele sensibile, cum ar fi utilizarea VPN-urilor și configurațiile securizate ale aplicațiilor. În plus, organizațiile pot lua în considerare stimularea angajaților pentru a-și actualiza dispozitivele personale învechite utilizate pentru accesul de la distanță.
