FBI, împreună cu mai mulți parteneri, printre care Serviciul Român de Informații (SRI), a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice.
Conform raportului Federal Bureau of Investigation (FBI), actori cibernetici ai Direcției Principale de Informații a Statului Major General rus (GRU) exploatează routere vulnerabile din întreaga lume pentru a intercepta și a fura informații sensibile din domeniul militar, guvernamental și al infrastructurilor critice.
Departamentul de Justiție al SUA și FBI au destructurat recent o rețea a GRU formată din routere compromise din categoria SOHO (small-office home-office), utilizate pentru a facilita operațiuni malicioase de deturnare a serviciilor DNS.
FBI și parteneri au făcut public acest eveniment pentru a avertiza publicul și a încuraja apărătorii rețelelor și proprietarii de dispozitive să ia măsuri pentru a remedia și a reduce suprafața de atac a dispozitivelor de margine similare.
Printre partenerii FBI se numără Agenția Națională de Securitate a SUA (NSA) și servicii secrete sau speciale internaționale din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
Ce înseamnă operațiuni de deturnare DNS
Încă din 2024, actorii cibernetici ai Centrului Principal de Servicii Speciale nr. 85 al GRU (85 GTsSS) din Rusia — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224.
Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor pentru a introduce rezolvatoare DNS controlate de actori. Dispozitivele conectate, inclusiv laptopurile și telefoanele, moștenesc aceste setări modificate. Infrastructura controlată de actori rezolvă și capturează căutările pentru toate numele de domeniu.
GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii — inclusiv Microsoft Outlook Web Access — permițând atacuri de tip adversar-în-mijloc (AitM) împotriva traficului criptat dacă utilizatorii ignoră o avertizare de eroare de certificat. Aceste atacuri AitM le-ar permite actorilor să vadă traficul necriptat.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și informații de navigare pe web, protejate în mod normal prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security). GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, apoi a filtrat utilizatorii afectați, vizând în special informații legate de armată, guvern și infrastructura critică.
Sursă articol: Tribuna.us
