Nicuşor Dan: Atac informatic asociat serviciilor militare ruse, oprit de FBI și SRI. Moscova continuă războiul hibrid

FBI, împreună cu mai mulţi parteneri, printre care SRI, a anunţat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, a transmis, miercuri, preşedintele Nicuşor Dan.

“Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta. România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”, a scris şeful statului, pe Facebook.

Avertismentul este transmis împreună cu mai mulți parteneri internaționali, printre care agenții de securitate din Canada, Germania, Italia, Polonia, România, Ucraina și alte state europene.

Operațiunea de hacking

Potrivit autorităților, operațiunea ar fi fost desfășurată de Centrul 85 de servicii speciale al GRU.

Gruparea ar fi exploatat vulnerabilități ale routerelor pentru a modifica setările DNS și DHCP ale dispozitivelor, direcționând traficul către servere controlate de atacatori.

În acest fel, dispozitivele conectate la rețea – inclusiv laptopuri și telefoane – ajungeau să folosească infrastructura hackerilor pentru accesarea adreselor de internet.

Atacatorii puteau astfel intercepta solicitările către diverse site-uri și servicii online, inclusiv către Microsoft Outlook Web Access, ceea ce permitea realizarea unor atacuri de tip „adversary-in-the-middle”.

Dacă utilizatorii ignorau avertismentele de securitate privind certificatele, hackerii puteau decripta traficul și accesa informații sensibile.

Potrivit FBI, astfel au fost colectate parole, tokenuri de autentificare, emailuri și date despre navigarea pe internet, informații care în mod normal sunt protejate de protocoale de securitate.

Recomandările autorităților

FBI și partenerii săi recomandă utilizatorilor și organizațiilor să ia mai multe măsuri de protecție:

• actualizarea firmware-ului routerelor la cea mai recentă versiune
• înlocuirea dispozitivelor care nu mai primesc actualizări de securitate
• schimbarea parolelor implicite și a numelor de utilizator
• dezactivarea administrării de la distanță a routerului prin internet
• atenție la avertismentele de certificat din browser sau email

Organizațiile care permit munca de la distanță sunt sfătuite să folosească VPN-uri și configurații securizate pentru aplicații, dar și să încurajeze angajații să își actualizeze dispozitivele personale utilizate pentru acces la rețele interne.

Autoritățile americane cer persoanelor sau organizațiilor care suspectează că au fost compromise să raporteze incidentul.

SRI a contribuit alături de comunitatea internațională la stoparea unor atacuri cibernetice atribuite GRU

Serviciul Român de Informații, prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care s-a reușit disruperea unei infrastructuri de atac formate din dispozitive de comunicații (routere), utilizate de actorul cibernetic rus APT28/ FANCY BEAR, atribuit GRU, conform unui comunicat al SRI.

Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental.

Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac.