FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale
O amplă operațiune de spionaj cibernetic atribuită serviciului militar rus GRU a vizat mii de routere vulnerabile din întreaga lume, folosite pentru interceptarea traficului online și furtul de date sensibile, inclusiv parole, token-uri de autentificare și informații privind infrastructura militară și guvernamentală.
Actorii cibernetici ai Direcției Principale de Informații a Statului Major General (GRU) din Rusia exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile despre infrastructura militară, guvernamentală și critică.
Departamentul de Justiție al SUA și FBI au perturbat recent o rețea GRU de routere compromise pentru birouri mici și birouri de acasă (SOHO), utilizate pentru a facilita operațiuni malițioase de deturnare DNS. FBI a avertizat publicul și a încurajat apărătorii de rețele și proprietarii de dispozitive să ia măsuri pentru a remedia și a reduce suprafața de atac a dispozitivelor similare de la marginea conexiunii: Agenția Națională de Securitate a SUA (NSA ) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
CITESTE SI: Hackerii au spart e-mailul personal al directorului FBI și au publicat fotografiile acestuia
Începând cel puțin cu anul 2024, actorii cibernetici din cadrul Centrului Principal de Servicii Speciale 85 rusesc cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard – colectează acreditări și exploatează routere vulnerabile la nivel mondial, inclusiv compromițând routerele TP-Link.
Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor pentru a introduce rezolveri DNS controlați de actori. Dispozitivele conectate, inclusiv laptopurile și telefoanele, moștenesc aceste setări modificate.
Infrastructura controlată de actori rezolvă și capturează căutări pentru toate numele de domeniu. GRU oferă răspunsuri DNS frauduloase pentru domenii și servicii specifice – inclusiv Microsoft Outlook Web Access – permițând atacuri de tip adversar-in-the-middle ( AitM ) împotriva traficului criptat dacă utilizatorii navighează printr-un avertisment de eroare de certificat. Aceste atacuri AitM ar permite actorilor să vadă traficul necriptat.
GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și informații de navigare web, protejate în mod normal prin criptare Secure Socket Layer (SSL) și Transport Layer Security ( TLS ). GRU a compromis fără discriminare o gamă largă de victime din SUA și din întreaga lume și apoi a filtrat utilizatorii afectați, vizând în special informații legate de armată, guvern și infrastructură critică.
Utilizatorii de routere SOHO sunt încurajați să actualizeze dispozitivele care nu mai sunt disponibile pentru utilizare, să le actualizeze la cele mai recente versiuni de firmware, să modifice numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță de pe internet. Toți utilizatorii ar trebui să ia în considerare cu atenție avertismentele privind certificatele din browserele web și clienții de e-mail.
Organizațiile care permit munca la distanță ar trebui să revizuiască politicile relevante privind modul în care angajații accesează datele sensibile, cum ar fi utilizarea VPN-urilor și a configurațiilor de aplicații securizate. În plus, organizațiile pot lua în considerare stimularea angajaților pentru a actualiza dispozitivele personale învechite implicate în accesul la distanță.
