„Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta. România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”, a scris şeful statului, pe Facebook.
Potrivit comunicatului FBI, Direcţia Principală de Informaţii a Statului Major General rus (GRU) exploatează routere vulnerabile pentru a fura informaţii sensibile.
”Actorii cibernetici ai Direcţiei Principale de Informaţii a Statului Major General rus (GRU) exploatează routere vulnerabile la nivel mondial pentru a intercepta şi a fura informaţii sensibile din domeniul militar, guvernamental şi al infrastructurilor critice. Departamentul de Justiţie al SUA şi FBI-ul au dezarticulat recent o reţea a GRU formată din routere compromise din categoria SOHO (small-office home-office), utilizate pentru a facilita operaţiuni rău intenţionate de deturnare a serviciilor DNS”, precizează comunicatul.
FBI şi următorii parteneri publică acest anunţ pentru a avertiza publicul şi a încuraja apărătorii reţelelor şi proprietarii de dispozitive să ia măsuri pentru a remedia şi reduce suprafaţa de atac a dispozitivelor de margine similare: Agenţia Naţională de Securitate a SUA (NSA) şi parteneri internaţionali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia şi Ucraina.
FBI mai spune că, încă din 2024, actorii cibernetici ai Centrului Principal de Servicii Speciale nr. 85 al GRU, din Rusia — cunoscuţi şi sub numele de APT28, Fancy Bear şi Forest Blizzard — au colectat date de autentificare şi au exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224.
Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor pentru a introduce rezolvatoare DNS controlate de actori. Dispozitivele conectate, inclusiv laptopurile şi telefoanele, moştenesc aceste setări modificate. Infrastructura controlată de actori rezolvă şi capturează căutările pentru toate numele de domeniu. GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii şi servicii — inclusiv Microsoft Outlook Web Access — permiţând atacuri de tip adversar-în-mijloc (AitM) împotriva traficului criptat dacă utilizatorii ignoră o avertizare de eroare de certificat. Aceste atacuri AitM le-ar permite actorilor să vadă traficul necriptat.
GRU a colectat parole, tokenuri de autentificare şi informaţii sensibile, inclusiv e-mailuri şi informaţii de navigare pe web, protejate în mod normal prin criptare SSL (Secure Socket Layer) şi TLS (Transport Layer Security). GRU a compromis fără discriminare un număr mare de victime din SUA şi din întreaga lume, apoi a filtrat utilizatorii afectaţi, vizând în special informaţii legate de armată, guvern şi infrastructura critică.
