12:55
FBI, în colaborare cu mai mulți parteneri, inclusiv SRI, a anunțat că a fost destructurat un atac informatic de durată care a vizat infrastructuri sensibile din mai multe state occidentale, potrivit unei informări transmise miercuri de președintele Nicușor Dan.
„Actori cibernetici asociaţi GRU, serviciul de informaţii al armatei ruse, colectau informaţii militare, guvernamentale şi legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva ţărilor occidentale şi numai cine este de rea-credinţă nu vede asta. România trebuie să-şi îmbunătăţească securitatea cibernetică şi să colaboreze în continuare cu partenerii occidentali”, a scris şeful statului, pe Facebook.
Mesajul de avertizare a fost emis împreună cu mai mulți parteneri internaționali, inclusiv agenții de securitate din Canada, Germania, Italia, Polonia, România, Ucraina și alte state europene.
În ceea ce privește operațiunea de hacking, autoritățile susțin că aceasta ar fi fost realizată de Centrul 85 de servicii speciale al GRU. Gruparea ar fi profitat de vulnerabilități existente în routere pentru a altera setările DNS și DHCP, redirecționând traficul către servere aflate sub controlul atacatorilor.
Prin această metodă, dispozitivele conectate la rețea, precum laptopurile și telefoanele, ajungeau să utilizeze infrastructura hackerilor pentru accesarea site-urilor. În consecință, atacatorii puteau intercepta solicitările către diverse servicii online, inclusiv Microsoft Outlook Web Access, facilitând desfășurarea unor atacuri de tip „adversary-in-the-middle”.
[rssfeed id='1609318597' template='list' posts=2]În situația în care utilizatorii ignorau avertismentele legate de certificatele de securitate, hackerii aveau posibilitatea de a decripta traficul și de a accesa informații sensibile. FBI precizează că astfel au fost obținute parole, tokenuri de autentificare, emailuri și date privind navigarea online, informații care, în mod normal, sunt protejate prin protocoale de securitate.
Autoritățile recomandă utilizatorilor și organizațiilor să adopte mai multe măsuri de protecție, precum actualizarea firmware-ului routerelor la ultima versiune, înlocuirea echipamentelor care nu mai beneficiază de actualizări de securitate, modificarea parolelor și a numelor de utilizator implicite, dezactivarea administrării de la distanță a routerelor și acordarea unei atenții sporite avertismentelor privind certificatele din browser sau email.
Pentru organizațiile care permit munca de la distanță, se recomandă utilizarea VPN-urilor și a unor configurații securizate pentru aplicații, precum și încurajarea angajaților să își actualizeze dispozitivele personale folosite pentru accesarea rețelelor interne.
De asemenea, autoritățile americane solicită persoanelor sau organizațiilor care suspectează că au fost compromise să raporteze incidentul.
SRI a anunțat că a contribuit, alături de partenerii internaționali, la stoparea unor atacuri cibernetice atribuite GRU. Prin Centrul Național Cyberint, instituția a participat la operațiunea Masquerade, desfășurată împreună cu comunitatea internațională de intelligence, în urma căreia a fost perturbată o infrastructură de atac alcătuită din routere, utilizată de gruparea APT28/FANCY BEAR, asociată GRU.
Conform informațiilor transmise, rețeaua respectivă a fost folosită pentru colectarea de parole, tokenuri de autentificare și alte date sensibile, inclusiv emailuri și istoricul navigării pe internet, care sunt în mod obișnuit protejate prin protocoale SSL și TLS. În acest context, GRU ar fi compromis numeroase entități la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental.
Acțiunea de disrupere a afectat operațiunile cibernetice aflate în desfășurare ale APT28, realizate prin exploatarea routerelor, reducând considerabil capacitatea grupării de a lansa viitoare atacuri folosind această infrastructură.
