FBI trage un semnal de alarmă într-un nou avertisment care vizează o amenințare cibernetică extrem de serioasă, cu impact global, după ce actori ai serviciului rus de informații militare GRU au exploatat routere vulnerabile pentru a intercepta și fura informații sensibile din zone esențiale. Vorbim despre date din domenii militare, guvernamentale și de infrastructură critică, iar amploarea operațiunii arată cât de expuse pot deveni inclusiv dispozitivele obișnuite folosite acasă sau în birouri mici.
FBI a anunțat că Departamentul de Justiție al SUA și agenția federală au reușit recent să perturbe o rețea controlată de GRU, formată din routere compromise de tip SOHO, adică echipamente folosite frecvent în locuințe și birouri mici. Aceste dispozitive erau folosite pentru operațiuni malițioase de deturnare DNS, iar avertismentul public a fost transmis împreună cu NSA și parteneri internaționali din mai multe țări, inclusiv România, Germania, Canada, Italia, Polonia, Ucraina și alte state europene.
FBI explică faptul că, cel puțin din 2024, actorii cibernetici ai 85th Main Special Service Center din cadrul GRU, cunoscuți și sub numele APT28, Fancy Bear sau Forest Blizzard, au colectat credențiale și au exploatat routere vulnerabile la nivel mondial. În mod special, a fost menționată compromiterea unor routere TP-Link prin exploatarea vulnerabilității CVE-2023-50224, ceea ce subliniază cât de importantă rămâne securizarea echipamentelor de rețea aparent banale.
FBI arată că atacatorii au modificat setările DHCP și DNS ale dispozitivelor compromise pentru a introduce rezolvatoare DNS controlate de ei. Asta înseamnă că toate dispozitivele conectate la aceste routere, inclusiv laptopuri și telefoane, pot moșteni automat setările false fără ca utilizatorii să își dea seama. Infrastructura controlată de atacatori poate astfel să observe și să captureze interogările pentru numele de domenii accesate de victime.
FBI avertizează că pericolul nu se oprește la simpla redirecționare a traficului. Atacatorii au furnizat răspunsuri DNS frauduloase pentru anumite domenii și servicii, inclusiv Microsoft Outlook Web Access, pentru a face posibile atacuri de tip adversary-in-the-middle asupra traficului criptat. Dacă utilizatorii trec peste avertismentele de certificat, atacatorii pot vedea traficul în formă necriptată, deschizând calea către furtul de informații extrem de sensibile.
FBI spune clar că actorii GRU au reușit să colecteze parole, tokenuri de autentificare, e-mailuri și informații despre navigarea pe internet, date care în mod normal ar trebui să fie protejate prin SSL și TLS. Asta face ca amenințarea să fie relevantă nu doar pentru instituții mari, ci și pentru utilizatori obișnuiți, companii mici și organizații care se bazează pe securitatea rețelelor pentru activitatea zilnică.
FBI subliniază și faptul că victimele nu au fost selectate strict de la început, ci compromiterea a vizat o bază foarte largă de ținte din SUA și din restul lumii, după care au fost filtrate persoanele sau organizațiile de interes. Accentul a fost pus în special pe informații legate de armată, guvern și infrastructură critică, ceea ce transformă această operațiune într-un risc major pentru securitatea digitală internațională.
