Serviciile de informații ale Federației Ruse folosesc vulnerabilități din routere obișnuite pentru a intercepta comunicații și a fura informații sensibile, inclusiv date guvernamentale și militare. Avertismentul vine din partea Biroului Federal de Investigații (FBI), care, împreună cu parteneri internaționali, a destructurat recent o rețea cibernetică operată de GRU.
Potrivit comunicatului, atacurile sunt desfășurate de unități ale Direcției Principale de Informații a Statului Major al armatei ruse (GRU), cunoscute și sub denumirile APT28, Fancy Bear sau Forest Blizzard.
Ancheta arată că hackerii exploatează routere vulnerabile, în special dispozitive de tip „small-office/home-office” (SOHO), pentru a intercepta traficul de internet și a redirecționa utilizatorii către infrastructuri controlate de atacatori.
Cum funcționează atacul
Experții explică faptul că atacatorii modifică setările DNS ale routerelor compromise, astfel încât toate dispozitivele conectate, telefoane, laptopuri sau alte echipamente, să trimită cereri de internet prin servere controlate de aceștia. Prin această metodă, hackerii pot intercepta date aparent securizate, inclusiv parole, emailuri sau informații de navigare, chiar și în cazul conexiunilor protejate prin protocoale SSL sau TLS. În anumite cazuri, sunt simulate site-uri legitime (de exemplu servicii de email), pentru a induce utilizatorii în eroare și a obține acces la conturi. FBI precizează că atacurile au vizat un număr mare de victime la nivel global, însă interesul principal a fost colectarea de informații legate de instituții guvernamentale, infrastructură critică și sectorul militar.
Operațiune internațională și ținte globale
Autoritățile americane, împreună cu agenții de securitate din mai multe state, inclusiv România, Germania, Polonia, Ucraina și alte țări europene, au colaborat pentru a identifica și bloca infrastructura utilizată în aceste atacuri.
De asemenea, a fost confirmată exploatarea unor vulnerabilități cunoscute în echipamente de rețea, inclusiv routere produse de TP-Link.
Recomandări pentru utilizatori
FBI avertizează că atât utilizatorii casnici, cât și organizațiile pot deveni ținte și recomandă o serie de măsuri urgente:
- actualizarea firmware-ului routerelor la cea mai recentă versiune
- schimbarea parolelor implicite și a numelor de utilizator
- dezactivarea accesului de la distanță la router
- înlocuirea dispozitivelor vechi care nu mai primesc actualizări de securitate
Totodată, utilizatorii sunt sfătuiți să fie atenți la avertismentele de securitate din browser, în special cele legate de certificate, deoarece acestea pot indica tentative de interceptare a datelor. Pentru organizații, în special cele care permit munca la distanță, FBI recomandă utilizarea conexiunilor securizate (VPN), configurarea strictă a accesului la date sensibile și actualizarea echipamentelor utilizate de angajați.
Autoritățile americane solicită ca orice suspiciune de atac cibernetic să fie raportată imediat, subliniind că aceste operațiuni fac parte dintr-o strategie mai amplă de spionaj și colectare de informații la nivel global.
