Președintele Nicușor Dan a transmis miercuri că FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale.
Președintele susține că actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice.
"Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali", a scris președintele pe pagina lui de Facebook.
Într-un comunicat de presă, FBI a informat că actorii cibernetici GRU exploatează routere vulnerabile la nivel global pentru a intercepta și fura informații sensibile militare, guvernamentale și din infrastructuri critice.
Departamentul de Justiție al SUA și FBI au destructurat recent o rețea GRU de routere compromise de tip small-office/home-office (SOHO), utilizate pentru a facilita operațiuni malițioase de deturnare DNS.
"FBI și următorii parteneri emit acest anunț pentru a avertiza publicul și a încuraja administratorii de rețele și proprietarii de dispozitive să ia măsuri pentru remediere și reducerea suprafeței de atac a unor dispozitive similare: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina", se arată în comunicat.
Cel puțin din 2024, actorii cibernetici ai Centrului 85 Principal de Servicii Speciale (85th GTsSS) al GRU — cunoscuți și ca APT28, Fancy Bear și Forest Blizzard — colectează credențiale și exploatează routere vulnerabile la nivel global, inclusiv prin compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224. Actorii GRU au modificat setările DHCP (protocol de configurare dinamică a gazdei) și DNS (sistem de nume de domeniu) ale dispozitivelor pentru a introduce servere DNS controlate de atacatori. Dispozitivele conectate, inclusiv laptopuri și telefoane, moștenesc aceste setări modificate. Infrastructura controlată de atacatori rezolvă și captează toate interogările de domenii. GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii — inclusiv Microsoft Outlook Web Access — permițând atacuri de tip adversar-la-mijloc (AitM) asupra traficului criptat, dacă utilizatorii ignoră avertismentele de certificat. Aceste atacuri pot permite actorilor să vadă traficul necriptat.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web, în mod normal protejate prin criptare SSL și TLS. Atacurile au vizat un număr larg de victime din SUA și din lume, iar ulterior au fost selectate ținte de interes, în special legate de domeniul militar, guvernamental și infrastructuri critice.
FBI și partenerii au publicat ghiduri relevante și indicatori tehnici, inclusiv avertismentul de securitate cibernetică al NCSC-UK „APT28 exploatează routere pentru a permite deturnarea DNS” (6–7 aprilie 2026) și pagina CISA dedicată securității dispozitivelor de tip edge.
Utilizatorii de routere SOHO sunt încurajați să înlocuiască dispozitivele ieșite din suport, să actualizeze firmware-ul la cele mai recente versiuni, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de administrare de la distanță din Internet. Toți utilizatorii ar trebui să trateze cu atenție avertismentele de certificat din browsere și clienți de e-mail.
Organizațiile care permit munca de la distanță ar trebui să revizuiască politicile privind accesul la date sensibile, inclusiv utilizarea VPN-urilor și a configurațiilor securizate ale aplicațiilor. De asemenea, pot lua în considerare stimularea angajaților pentru a-și actualiza dispozitivele personale utilizate pentru acces la distanță.
Lasă un comentariu