FBI și SRI au destructurat o rețea de spionaj a GRU

Departamentul de Justiție al Statelor Unite a anunțat marți destructurarea unei rețele de spionaj cibernetic controlate de Direcția Principală de Informații a Statului Major al armatei ruse (GRU), care exploata routere domestice pentru a intercepta comunicații sensibile din zeci de țări. Serviciul Român de Informații (SRI) a participat la operațiune prin Centrul Național Cyberint, alături de agenții din alte 14 state.

Operațiunea FBI: cum funcționa rețeaua

Potrivit Departamentului de Justiție, Unitatea Militară 26165 a GRU — cunoscută în comunitatea de securitate cibernetică sub denumirile APT28, Fancy Bear sau Forest Blizzard — a exploatat din 2024 o vulnerabilitate critică (CVE-2023-50224) în routerele TP-Link. Atacatorii modificau setările DNS și DHCP ale dispozitivelor compromise, redirecționând traficul utilizatorilor către servere controlate de GRU.

Dispozitivele conectate la un router compromis — laptopuri, telefoane, tablete — moșteneau automat configurația DNS falsificată. Serverele controlate de GRU răspundeau selectiv: pentru majoritatea site-urilor returnau adrese IP legitime, dar pentru domenii-țintă, precum serviciile Microsoft Outlook, redirecționau traficul către infrastructura de interceptare. Această abordare permitea atacuri de tip adversary-in-the-middle (interceptare activă a comunicațiilor), colectând parole, tokenuri de autentificare și conținutul emailurilor.

27 de modele de routere afectate

Conform unui advisory publicat pe 7 aprilie de Centrul Național de Securitate Cibernetică al Marii Britanii (NCSC), 27 de modele de routere TP-Link au fost vizate, printre care WR841N, WR840N, Archer C5, Archer C7 și mai multe modele din seria WDR. În paralel, un al doilea grup de infrastructură malițioasă viza routere MikroTik, în special în Ucraina.

NCSC a identificat peste 133 de adrese IP utilizate ca servere DNS malițioase în primul grup de infrastructură și aproximativ 38 de adrese suplimentare în al doilea.

Ce date au fost furate

Țintele principale ale operațiunii erau persoane din domeniul militar, guvernamental și din sectorul infrastructurii critice, catalogate de serviciile ruse drept „ținte de interes”. Atacatorii au colectat credențiale de autentificare, parole, emailuri și date din istoricul de navigare, relatează Digi24, citând surse oficiale americane.

Coaliția internațională

FBI a condus componenta tehnică a operațiunii, dezvoltând comenzi care au resetat setările DNS ale routerelor compromise din SUA, eliminând serverele DNS controlate de GRU și restaurând funcționarea normală. Operațiunea nu a afectat funcționalitatea routerelor și nu a colectat date ale utilizatorilor, precizează Departamentul de Justiție.

La acțiune au participat servicii de informații din 15 state: Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina, pe lângă FBI, NSA și Departamentul de Justiție al SUA. Din partea României, SRI a acționat prin Centrul Național Cyberint.

Reacția României

Președintele Nicușor Dan a comentat operațiunea, declarând că „Rusia continuă războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta”. Șeful statului a subliniat că România trebuie „să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”.

Declarația vine în contextul în care drone rusești au generat recent alertă RO-Alert în Tulcea, iar amenințările hibride la adresa României s-au intensificat în ultimele luni.

Recomandări pentru utilizatori

Autoritățile recomandă mai multe măsuri imediate de protecție: înlocuirea routerelor care nu mai primesc actualizări de securitate, instalarea celui mai recent firmware disponibil, schimbarea numelui de utilizator și a parolei implicite, dezactivarea accesului de la distanță la interfața de administrare și activarea autentificării în doi pași acolo unde este posibil. Utilizatorii care observă avertismente de certificat neobișnuite la accesarea emailului sunt sfătuiți să nu le ignore, deoarece pot indica un atac activ.