Skip to content
Hackeri rusi, Foto: Dreamstime.com
Actualitate

Cum acționa gruparea rusă asociată serviciului de informații al armatei ruse care a fost destructurată de FBI, SRI și servicii din alte state

Sebastian Pricop

Gruparea folosea routere compromise în operațiuni în întreaga lume pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice, potrivit unor comunicate emise de Departamentul pentru Justiție al SUA și FBI.

În operațiunea de destructurare a rețelei a fost implicată Agenția Națională de Securitate a SUA (NSA), care a colaborat cu parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.

Implicarea SRI a fost menționată de președintele Nicușor Dan care a anunțat miercuri destructurarea rețelei.

Ulterior, SRI a transmis printr-un comunicat de presă că a participat la operațiunea „Masquerade” prin intermediul Centrului Național Cyberint.

Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate.

„În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”, a explicat SRI.

Explorarea unor vulnerabilități deja cunoscute

Autoritățile americane subliniază că grupări asociate serviciului de informații al armatei (GRU) au exploatat vulnerabilități cunoscute pentru a fura datele de autentificare ale mii de routere TP-Link din întreaga lume.

„Cel puțin din anul 2024, actorii cibernetici ai Centrului 85 Principal de Servicii Speciale al GRU (85 GTsSS) — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224”, se menționează în comunicat.

Mai precis, agenții GRU au modificat setările pentru a prelua controlul și a utiliza respectivele servere.

„Un număr mare de victime din SUA și din întreaga lume”

Departamentul de Justiție mai precizează că GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web care, în mod normal, sunt protejate prin criptare.

„GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, filtrând ulterior utilizatorii afectați și vizând în special informațiile legate de armată, guvern și infrastructură critică”, menționează Departamentul pentru Justiție a SUA.

Membrii grupării nu au avut limite în selectarea țintelor inițiale și manipularea routerelor, fiind vizat orice server compromis. Ulterior, aceștia au implementat un proces automat de filtrare pentru a stabili care ținte compromise prezentau interes și meritau să meargă mai departe.

Au fost vizate în special ținte care puteau oferi informații care vizează sectorul militar, instituțiile guvernamentale și infrastructura critică.