FBI și SRI au destructurat un atac cibernetic rusesc

FBI, împreună cu Serviciul Român de Informații (SRI) și alte instituții din 15 state, au reușit să oprească un atac informatic amplu, desfășurat de actorii cibernetici asociați serviciului de informații al armatei ruse (GRU). Anunțul a fost făcut de președintele Nicușor Dan și Departamentul de Justiție al SUA. Atacul viza infrastructura critică și alte obiective sensibile din mai multe țări occidentale.

Potrivit președintelui Dan, atacatorii GRU colectau informații militare, guvernamentale și date legate de infrastructurile critice. Reacția sa pe Facebook a accentuat importanța îmbunătățirii securității cibernetice în România și a colaborării cu partenerii occidentali.

Cum acționa rețeaua GRU

Operațiunea de anihilare a rețelei GRU a fost rezultatul colaborării dintre Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, Slovacia, Ucraina și România. Scopul grupării era interceptarea și furtul de informații sensibile.

Conform comunicatelor emise de Departamentul de Justiție al SUA și de FBI, rețeaua folosea routere compromise la nivel mondial pentru a colecta date. Atacatorii, cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard, lucrau cel puțin din 2024. Aceștia au colectat date de autentificare și au exploatat routere vulnerabile, inclusiv routere TP-Link, prin exploatarea vulnerabilității CVE-2023-50224.

Agenții GRU modificau setările routerelor pentru a prelua controlul asupra acestora. Departamentul de Justiție a precizat că GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web. Aceste informații, în mod normal protejate prin criptare, erau astfel accesibile atacatorilor.

Recomandări de securitate cibernetică

Departamentul de Justiție a emis, de asemenea, o serie de recomandări pentru sporirea securității cibernetice. Acestea includ înlocuirea routerelor învechite, actualizarea firmware-ului, schimbarea numelor de utilizator și a parolelor implicite. De asemenea, se recomandă dezactivarea interfețelor de administrare de la distanță dinspre Internet și verificarea avertismentelor de certificat în browserele web.

Organizațiile care permit munca la distanță sunt sfătuite să revizuiască politicile privind accesul la datele sensibile, inclusiv utilizarea VPN-urilor și a configurațiilor securizate ale aplicațiilor. Angajații pot fi încurajați să-și actualizeze dispozitivele personale utilizate pentru accesul de la distanță.

Această operațiune subliniază importanța colaborării internaționale în combaterea amenințărilor cibernetice.