Actual, o operațiune internațională de amploare a condus la destructurarea unei rețele de spionaj militar rus, care a fost responsabilă pentru furtul de informații sensibile din domeniul militar, guvernamental și al infrastructurii critice. Aceasta a fost coordonată de FBI, în colaborare cu SRI și alte 14 servicii de informații din țările membre NATO, sub numele de „Operation Masquerade”. Această acțiune reprezintă un pas semnificativ în lupta împotriva spionajului cibernetic orchestrat de Rusia.
Conform comunicatelor oficiale emise de Departamentul de Justiție al SUA și FBI, Direcția Principală de Informații a Statului Major Rus (GRU) a exploatat vulnerabilitățile routerelor din întreaga lume pentru a intercepta informații critice. Operațiunea s-a concentrat pe rețelele compromise de tip SOHO (small-office home-office), care au fost utilizate pentru atacuri de deturnare DNS. Această metodă permite atacatorilor să intercepteze și să manipuleze traficul de date liber ca victimele să fie conștiente de acest lucru.
FBI a explicat că, începând cu anul 2024, unitățile cibernetice ale GRU, cunoscute inferior diverse denumiri precum APT28 sau Fancy Bear, au reușit să colecteze date de autentificare și să compromită routere vulnerabile, inclusiv cele de la TP-Link. Aceste atacuri au implicat modificarea setărilor protocolului DHCP și DNS, permițând atacatorilor să controleze dispozitivele conectate. Astfel, infrastructura GRU putea oferi răspunsuri DNS false, facilitând atacuri de tip „adversary-in-the-middle” asupra comunicațiilor criptate.
În urma acestor atacuri, GRU a reușit să colecteze parole, token-uri de autentificare și alte date sensibile, inclusiv e-mailuri și informații de navigare web care ar fi trebuit să fie protejate prin criptare. Aceasta a dus la compromiterea unui număr semnificativ de victime din întreaga lume, cu un accent deosebit pe informațiile legate de armată, guvern și infrastructură critică.
Pentru a preveni astfel de atacuri, FBI și partenerii săi au publicat ghiduri și resurse tehnice. Utilizatorii de routere SOHO sunt sfătuiți să înlocuiască dispozitivele învechite, să actualizeze firmware-ul, să schimbe parolele implicite și să dezactiveze administrarea de la distanță. De asemenea, este esențial să se acorde atenție avertismentelor de certificat din browsere și clienți de e-mail.
Organizațiile care permit munca de la distanță ar trebui să revizuiască politicile de acces la date sensibile, să utilizeze VPN-uri și să mențină configurații sigure pentru aplicațiile utilizate de angajați. Încurajarea actualizării dispozitivelor personale antice este, de asemenea, o măsură importantă pentru a asigura securitatea informațiilor.
