Nicuşor Dan: Rusia continuă războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede

Nicuşor Dan transmite că actori cibernetici asociați GRU ar fi vizat colectarea de informații militare, guvernamentale și legate de infrastructuri critice, susținând totodată că Rusia își continuă războiul hibrid împotriva statelor occidentale, motiv pentru care România trebuie să își consolideze securitatea cibernetică și să mențină cooperarea cu partenerii occidentali.

„Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta. România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”, a scris şeful statului, pe Facebook.

Serviciul de Securitate al Ucrainei (SSU), în cooperare cu Biroul Federal de Investigații (FBI) și agențiile de aplicare a legii din Uniunea Europeană și Polonia, a descoperit o operațiune de ciberspionaj, la scară largă, condusă de serviciul de informații militare al Rusiei (GRU), informează UATV.

Potrivit SSU, agenți ruși au spart sute de routere Wi-Fi (dispozitive SOHO) de la birou și acasă aparținând unor cetățeni din Ucraina, UE și Statele Unite. Operațiunea a vizat în mod specific dispozitivele care nu îndeplineau standardele moderne de securitate cibernetică.

Atacatorii cibernetici au redirecționat traficul de internet printr-o rețea de servere DNS controlate

Acest lucru le-a permis să acționeze ca intermediari în comunicațiile online și să colecteze date sensibile, inclusiv parole, tokenuri de autentificare și chiar e-mailuri care sunt de obicei protejate prin protocoale de criptare SSL și TLS.

Anchetatorii cred că datele furate erau destinate utilizării în viitoare atacuri cibernetice, campanii de dezinformare și operațiuni de colectare de informații.

O atenție deosebită a fost acordată comunicărilor care implică oficiali guvernamentali, membri ai Forțelor de Apărare ale Ucrainei și angajați din sectorul industrial de apărare.

În urma operațiunii cibernetice internaționale comune, peste 100 de servere au fost blocate și sute de routere compromise din Ucraina au fost securizate, slăbind semnificativ capacitățile de informații ale GRU și prevenind un potențial sabotaj la nivel de software.

Se depun eforturi continue pentru identificarea și tragerea la răspundere a tuturor persoanelor implicate în infracțiunile cibernetice.

SSU a îndemnat toți proprietarii de routere să verifice modelele dispozitivelor și versiunile de software, să instaleze cele mai recente actualizări de securitate și să înlocuiască echipamentele învechite, dacă acestea nu mai sunt acceptate de producători.

De asemenea, utilizatorii sunt sfătuiți să schimbe parolele de acces, să dezactiveze accesul de la distanță de pe internet și să verifice setările dispozitivelor pentru activități suspecte.

Furnizorii de telecomunicații au fost solicitați să își asiste clienții în implementarea acestor măsuri de securitate cibernetică, informează UATV.

FBI a transmis un avertisment pentru a informa publicul și a încuraja administratorii de rețele și proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităților

Directoratul Principal de Informații al Statului Major General al Rusiei (GRU) desfășoară operațiuni cibernetice prin exploatarea routerelor vulnerabile la nivel global pentru a intercepta și a sustrage informații sensibile din domeniul militar, guvernamental și al infrastructurilor critice.

Departamentul de Justiție al SUA și FBI au destructurat recent o rețea GRU formată din routere compromise de tip small-office/home-office (SOHO), utilizată pentru facilitarea unor operațiuni malițioase de deturnare a sistemului DNS.

FBI și partenerii săi transmit acest avertisment pentru a informa publicul și a încuraja administratorii de rețele și proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităților și reducerea suprafeței de atac a acestor echipamente: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.

Înțelegerea operațiunilor de deturnare DNS

Cel puțin din 2024, actori cibernetici ai GRU, în special cei din cadrul 85th Main Special Service Center (85th GTsSS) — cunoscuți și sub denumirile APT28, Fancy Bear și Forest Blizzard — colectează credențiale și exploatează routere vulnerabile la nivel global, inclusiv prin compromiterea unor dispozitive TP-Link folosind vulnerabilitatea CVE-2023-50224.

Aceștia au modificat setările protocolului DHCP (Dynamic Host Configuration Protocol) și ale sistemului DNS (Domain Name System) pentru a introduce rezolvatoare DNS controlate de atacatori. Dispozitivele conectate, inclusiv laptopuri și telefoane, preiau automat aceste setări modificate.

Infrastructura controlată de atacatori procesează și captează interogările pentru toate numele de domenii

GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii — inclusiv Microsoft Outlook Web Access — facilitând atacuri de tip „adversary-in-the-middle” (AitM) asupra traficului criptat, în cazul în care utilizatorii ignoră avertismentele privind certificatele de securitate. Aceste atacuri permit interceptarea traficului în formă necriptată.

GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date privind navigarea pe internet, care sunt în mod normal protejate prin criptare SSL (Secure Sockets Layer) și TLS (Transport Layer Security). Actorii au compromis în mod nediscriminatoriu un număr mare de victime din SUA și la nivel global, ulterior selectând ținte de interes, în special informații din domeniul militar, guvernamental și al infrastructurilor critice.

Organizațiile care permit munca la distanță sunt sfătuite să își revizuiască politicile privind accesul la date sensibile

FBI și partenerii săi au publicat ghiduri relevante și indicatori tehnici, inclusiv avertismentul de securitate cibernetică al NCSC-UK „APT28 exploit routers to enable DNS hijacking operations”, precum și resursele CISA privind securitatea dispozitivelor de tip edge.

Utilizatorii de routere SOHO sunt încurajați să înlocuiască echipamentele care nu mai beneficiază de suport tehnic, să actualizeze firmware-ul la cea mai recentă versiune, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de administrare la distanță accesibile din internet. Toți utilizatorii ar trebui să acorde o atenție sporită avertismentelor de certificat în browsere și aplicațiile de e-mail.

Organizațiile care permit munca la distanță sunt sfătuite să își revizuiască politicile privind accesul la date sensibile, inclusiv utilizarea VPN-urilor și configurarea securizată a aplicațiilor.

De asemenea, pot lua în considerare stimularea angajaților pentru a-și actualiza dispozitivele personale utilizate pentru accesul remote.

În cazul în care suspectați că ați fost ținta sau victima unei intruziuni cibernetice asociate GRU, FBI-ul recomandă raportarea incidentului către biroul local al FBI sau depunerea unei plângeri la IC3. Este important să furnizați detalii despre router, inclusiv tipul dispozitivului și configurațiile DHCP.

Citește și: Nicușor Dan avertizează asupra războiului informațional: „Dezinformarea afectează inclusiv medicina”