Atac cibernetic rusesc în România și alte țări occidentale: Ce anunță Nicușor Dan?
„FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, scrie Nicușor Dan pe pagina sa de Facebook.
Ce anunță FBI despre atacul cibernetic?
Actorii cibernetici ai Direcției Principale de Informații a Statului Major General al Rusiei (GRU) exploatează routere vulnerabile la nivel global pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice. Departamentul de Justiție al SUA și FBI au perturbat recent o rețea GRU formată din routere compromise de tip small-office/home-office (SOHO), utilizate pentru a facilita operațiuni malițioase de deturnare DNS. FBI și următorii parteneri lansează acest anunț pentru a avertiza publicul și a încuraja apărătorii de rețea și proprietarii de dispozitive să ia măsuri pentru remedierea și reducerea suprafeței de atac a unor dispozitive similare: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina, scrie FBI.
Înțelegerea operațiunilor de deturnare DNS
Începând cel puțin din 2024, actorii cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) al GRU - cunoscuți și sub denumirile APT28, Fancy Bear și Forest Blizzard - au colectat acreditări și au exploatat routere vulnerabile la nivel global, inclusiv compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224. Actorii GRU au modificat setările protocolului de configurare dinamică a gazdelor (DHCP) și ale sistemului de nume de domeniu (DNS) pentru a introduce rezolvatoare DNS controlate de atacatori. Dispozitivele conectate, inclusiv laptopuri și telefoane, moștenesc aceste setări modificate. Infrastructura controlată de atacatori rezolvă și captează interogările pentru toate numele de domenii.
GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii - inclusiv Microsoft Outlook Web Access - permițând atacuri de tip adversar-la-mijloc (AitM) asupra traficului criptat, dacă utilizatorii ignoră avertismentele de eroare de certificat. Aceste atacuri AitM le permit actorilor să vizualizeze traficul necriptat.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv emailuri și date despre navigarea web, care sunt în mod normal protejate de criptarea SSL (Secure Socket Layer) și TLS (Transport Layer Security). GRU a compromis în mod nediscriminatoriu un număr mare de victime din SUA și la nivel global, filtrând ulterior utilizatorii afectați, vizând în special informații legate de domeniul militar, guvernamental și infrastructura critică.
Ce sfaturi oferă FBI pentru prevenirea unui atac cibernetic?
FBI și partenerii au publicat ghiduri relevante și indicatori tehnici, inclusiv recomandarea de securitate cibernetică NCSC-UK „APT28 exploatează routere pentru a permite operațiuni de deturnare DNS” din 6 aprilie 2026, precum și pagina CISA privind securitatea dispozitivelor de tip edge.
Utilizatorii de routere SOHO sunt încurajați să:
- înlocuiască dispozitivele care nu mai sunt suportate,
- actualizeze firmware-ul la cele mai recente versiuni,
- schimbe numele de utilizator și parolele implicite,
- dezactiveze interfețele de administrare la distanță din Internet.
Toți utilizatorii ar trebui să acorde o atenție deosebită avertismentelor de certificat din browserele web și clienții de email.
Organizațiile care permit munca la distanță ar trebui să revizuiască politicile privind accesul angajaților la date sensibile, de exemplu prin utilizarea VPN-urilor și a configurațiilor securizate ale aplicațiilor. În plus, organizațiile pot lua în considerare stimularea angajaților pentru a-și actualiza dispozitivele personale învechite utilizate pentru acces la distanță.
