Campanie de spionaj cibernetic orchestrată de Rusia, destructurată de FBI. SRI, implicat în operațiune. Nicușor Dan: „Rusia continuă războiul hibrid”

O amplă campanie de spionaj cibernetic, atribuită grupării rusești Fancy Bear, a fost destructurată de autoritățile occidentale, în frunte cu FBI. Operațiunea a vizat instituții militare, guvernamentale și infrastructuri critice din mai multe țări, iar România, prin SRI, s-a numărat printre partenerii implicați.

Gruparea de hackeri ruși Fancy Bear a fost demascată de FBI FOTO: Shutterstock

UPDATE 16.15 Operațiunea Masquerade: cum a blocat SRI infrastructura de atac a hackerilor ruși

Serviciul Român de Informații (SRI), prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care a fost disruptă o infrastructură de atac cibernetic atribuită grupului rus APT28, cunoscut și sub numele de Fancy Bear, parte a GRU.

„Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”, a anunțat SRI.

SRI atrage atenția asupra măsurilor de protecție necesare pentru utilizatorii de dispozitive SOHO (small-office home-office – echipamente pentru birouri mici sau lucru de acasă):

-înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;

- realizarea regulată a actualizărilor de firmware;

-  verificarea autenticității conexiunilor realizate de echipamentele de rețea;

 -revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate.

„Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac”,  a transmis SRI.

Gruparea de hackeri Fancy Bear, considerată afiliată serviciului de informații militare rus GRU, se află în spatele unei campanii extinse de spionaj cibernetic, au anunțat agențiile de securitate din Statele Unite și Europa, citate de Politico.

Ancheta, desfășurată în colaborare de servicii de informații și autorități din SUA, Canada, Ucraina, România, Germania, Italia, Polonia și alte state, a scos la iveală o operațiune de amploare care viza exploatarea routerelor Wi-Fi slab securizate.

Potrivit Serviciului de Securitate al Ucrainei (SBU), hackerii au reușit să colecteze „parole, token-uri de autentificare și alte informații sensibile, inclusiv e-mailuri”, ocolind protocoalele de securitate și sistemele de criptare.

Datele obținute au fost folosite ulterior pentru atacuri cibernetice, acțiuni de sabotaj informațional și operațiuni de spionaj, țintele fiind în special instituții militare, guvernamentale și infrastructuri critice.

Un oficial implicat în operațiunea comună a explicat modul de operare al atacatorilor: „Rușii au încercat tot posibilul să acopere toate routerele vulnerabile, redirecționând cererile doar către domeniile care îi interesau. De exemplu, *.gov.ua sau cu nume corespunzătoare Microsoft Outlook, sisteme militare”.

La rândul său, SBU a precizat că „serviciile speciale ruse au acordat o atenție deosebită informațiilor schimbate între angajații și militarii organelor de stat, unitățile Forțelor de Apărare ale Ucrainei și întreprinderile complexului industrial de apărare”.

FBI: rețeaua GRU a fost destructurată

Autoritățile americane au confirmat că rețeaua a fost recent destructurată. Într-un comunicat oficial, FBI a arătat că operațiunea a fost realizată împreună cu parteneri internaționali, inclusiv Serviciul Român de Informații.

„Actorii cibernetici din cadrul Direcției Principale de Informații a Statului Major General (GRU) din Rusia exploatează routere vulnerabile la nivel mondial pentru a intercepta și fura informații sensibile despre armată, guvern și infrastructură critică. Departamentul de Justiție al SUA și FBI-ul au destructurat recent o rețea GRU de routere compromise folosite pentru a facilita operațiuni de deturnare DNS”, se arată în comunicat.

Instituția a subliniat că anunțul are și rolul de a avertiza publicul și administratorii de rețele cu privire la riscurile existente, îndemnând la măsuri urgente de securizare a dispozitivelor.

Potrivit anchetatorilor, hackerii au început să exploateze vulnerabilitățile unor routere, inclusiv modele populare TP-Link, încă din 2024. Prin compromiterea acestora, au reușit să intercepteze traficul de date de pe telefoane mobile și laptopuri, ocolind inclusiv sistemele de criptare.

Campania a fost atribuită grupării Fancy Bear, cunoscută și sub numele de APT28 sau Forest Blizzard, despre care oficialii occidentali susțin de mult timp că acționează în coordonare cu GRU.

Reacția lui Nicușor Dan: „Rusia continuă războiul hibrid”

În contextul dezvăluirilor, Nicușor Dan a reacționat public, subliniind gravitatea situației și necesitatea consolidării securității cibernetice.

„FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a transmis acesta.

Declarația vine în contextul în care oficialii occidentali avertizează că astfel de atacuri fac parte dintr-o strategie mai amplă de presiune și destabilizare în spațiul digital.