Atacul hackerilor ruși de la GRU, oprit de SRI și FBI. Ce informații au furat din România. „Instituțiile militare sunt securizate, dar factorul uman rămâne o problemă”

Nicușor Dan a anunțat că SRI a contribuit la destructurarea unui atac informatic rusesc, în vederea obținerii unor informații militare. Autoritățile române au fost implicate în această operațiune împreună cu FBI, dar și cu mai mulți parteneri. Americanii au transmis că este vorba de routere TP-Link compromise, dispozitive des folosite și în România. Ce spune un expert cibernetic.

SRI, implicată într-o operațiune de destructurare a unui atac informatic rusesc

Șeful statului a anunțat că SRI a contribuit la o operațiune largă, coordonată de FBI și la care au participat și alți parteneri, în care a fost destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Este vorba despre o grupare de hackeri ruși asociați Direcției Principale de Informații a Statului Major Rus (GRU). Operațiunea condusă de FBI s-a numit „Operation Masquerade”, arată Departamentul de Justiția al SUA.

„Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a transmis Nicușor Dan.

Autoritățile americane au anunțat că este vorba despre o grupare rusească numită APT28, dar cunoscută și sub numele de „Fancy Bear”. Potrivit acestora, atacul hackerilor ruși a vizat exploatarea „routerelor vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice”.

Digi24.ro

Hainele și nu pozele nud ale consulului Ucrainei în Republica Dominicană au dus la concedierea ei. Ce a purtat Victoria Iakimova

„Actorii cibernetici ai Direcției Principale de Informații a Statului Major Rus (GRU) exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice. Departamentul de Justiție al SUA și FBI au perturbat recent o rețea GRU de routere compromise de tip SOHO (small-office home-office), utilizate pentru a facilita operațiuni malițioase de deturnare DNS (DNS hijacking).

Digisport.ro

Ana Maria Tănăsie: "Pun și eu o poză în lenjerie și o să îmi bubuie Instagramul"

FBI și următorii parteneri publică acest anunț pentru a avertiza publicul și pentru a încuraja administratorii de rețele și posesorii de dispozitive să ia măsuri de remediere și de reducere a suprafeței de atac a dispozitivelor de rețea similare: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina”, se arată în comunicatul publicat de FBI.

De asemenea, FBI a mai precizat faptul că GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web. De asemenea, gruparea a compromis un număr mare de victime atât din Statele Unite, cât și din întreaga lume, vizând, în special, informațiile legate de armată, guvern și infrastructură critică.

Instituțiile din România, supuse zilnic la peste 10.000 de atacuri cibernetice

Ministrul apărării, Radu Miruță, a declarat recent că instituțiile guvernamentale se confruntă zilnic cu peste 10.000 de atacuri cibernetice, însă există o echipă specializată, cu profesioniști, care monitorizează situația. Tot el a punctat faptul că securitatea cibernetică şi apărarea împotriva atacurilor hibride trebuie stabilite ”într-o manieră foarte clară”, pentru că altfel consecinţele pot crea ”multe tulburări”.

„Nu putem purta o discuție despre atacuri cibernetice doar din perspectiva Ministerului Apărării pentru că sunt foarte multe instituții care pot fi atacate şi noi monitorizăm în fiecare zi şi vedem mai mult de 10.000 de astfel de atacuri lansate împotriva instituţiilor noastre. La Ministerul Apărării avem o echipă specializată dedicată protecţiei instituţiei noastre şi contribuim şi la protecţia altor instituţii. Sunt mai multe instituții pe care le protejăm prin acest proiect”, a declarat Radu Miruţă.

În luna martie, șeful Directoratului Național de Securitate Cibernetică (DNSC), Dan Cîmpean, a precizat că s-a observat o creștere semnificativă a atacurilor de tip DDoS, care vizează blocarea accesului la site-uri și aplicații online. El a menționat că România este vizată în contextul poziției geografice și războiului din Ucraina, iar grupările implicate au legături cu Kremlinul.

„Una din grupările pe care le detectăm în aceste zile este o grupare Noname057(16), care este activă de mai multă vreme, grupare afiliată cu guvernul de la Kremlin. Deci, în mod paradoxal, una dintre cele mai active grupări în aceste zile, este o grupare pro-Rusia care lansează tipul acesta de atacuri de tip din DDoS, deci sunt parte a strategiilor de război hibrid ale unor actori statali, sunt parte ale strategiilor foarte mercantile, motivate financiar, ale unor grupări de hackeri care fac bani din acest tip de activități. Deci aceasta este motivarea, în principal, o dată motivare politico-ideologică pentru actori statali și motivație financiară”, a declarat Cîmpean pentru Digi24.

Cum vede un expert în securitate, fost ofițer SRI, operațiunea rușilor

Pe acest subiect, FANATIK a luat legătura cu fostul ofițer SRI și expert în securitate Cristian Barna. Acesta a declarat faptul că această operațiune a hackerilor ruși nu a fost una targetată, ci una la scară largă. De asemenea, a subliniat faptul că au încercat să se folosească de elemente ce se găsesc și în comerț, mai exact de routerele TP-Link ce sunt utilizate și de români și se găsesc atât în online, cât și la magazinele de profil.

„Probabil și în legătură cu unii dintre furnizori, ne putem gândi și la China în această ecuație, dar în cazul de față vorbim despre Federația Rusă. Au studiat foarte bine care sunt potențiale vulnerabilități a acestor echipamente folosite pentru conexiunea la internet.

Studiind și identificând vulnerabilități și din câte vedem din sfaturile date și de autoritățile americane, dar și în cazul nostru al României, se vorbește mai ales despre o neglijență sau probabil dintr-o comoditate financiară, oamenii nu-și mai fac upgrade-urile sau nu-și mai cumpără licențele și încearcă să folosească a la long fără să-și actualizeze elementele de securitate sau protocoalele de securitate pentru aceste terminale care le folosesc. Și în momentul acela apar aceste vulnerabilități.

Probabil oferă mai ieftin sau gratis accesul în continuare la upgrade-uri, decât să ceară o taxă, omul se uită la subiectul acesta și probabil că dă acces pentru o dimensiune de actualizare free, adică liberă, și de aici apare vulnerabilitatea”, a explicat expertul în securitate Cristian Barna.

Acesta a punctat că, astfel, se exploatează vulnerabilitățile tehnice combinate cu vulnerabilitatea umană. Există, de asemenea, posibilitatea ca o persoană, în momentul în care primește un mesaj în vederea unui upgrade, să aibă impresia că este de la router, dar, de fapt, se oferă acces unor hackeri.

Cât de vulnerabilă e România în fața hackerilor ruși

Expertul în securitate a subliniat faptul că în România lucrurile stau bine la acest capitol, mai ales instituțiile. Instituțiile din registrul militar sunt „foarte bine securizate” și avem specialiști români bine pregătiți în ceea ce privește securitatea. În același timp, Cristian Barna explică în ce ar consta această neglijență umană.

„Când spun neglijență, înseamnă factorul uman, modul în care oamenii folosesc aceste instrumente, sau modul în care respectă protocoalele de securitate persoanele care au acces la aceste informații și încearcă să își facă munca mai ușoară, nerespectând protocoalele de securitate foarte stricte care le sunt impuse la locurile de muncă și aici mă refer la unități militare sau așa mai departe.

Deci, sunt convins că toate exfiltrările au avut loc pe partea de particular, adică tot ceea ce înseamnă dual-use, adică modul în care cineva folosea aceste terminale, informații, în modul dual, nu cele special dedicate. Încă o dată, există aceste protocoale, iar dacă sunt respectate este greu să pătrunzi, pentru că au foarte multe niveluri de securitate instalate ca să nu permită folosirea sau vulnerabilizarea a tot ce înseamnă accesul efectiv în rețeaua care se și numește intranet, nu internet, a acestor instituții”, a mai menționat, pentru FANATIK, fostul ofițer SRI Cristian Barna.

Astfel, expertul a mai precizat faptul că operațiunea hackerilor ruși a vizat foarte multe state, căutând să identifice și să exploateze vulnerabilități care să le permită adunarea de informații. „Deci, ce au făcut ei? Au cules tot ce au putut culege, au spart tot ce au putut sparge și după care au încercat să identifice ce le ar putea folosi mai bine pe dimensiunea strategică sau militară cu privire la statele care au fost targetate”.

Recomandările SUA

FBI a emis și câteva recomandări în acest sens. Utilizatorii sunt încurajați să înlocuiască dispozitivele care nu mai beneficiază de asistență (end-of-support), să actualizeze firmware-ul la cele mai recente versiuni, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de administrare de la distanță dinspre Internet. Toți utilizatorii ar trebui să analizeze cu atenție avertismentele de certificat din browserele web și clienții de e-mail.

De asemenea, organizațiile care permit munca la distanță ar trebui să revizuiască politicile relevante privind modul în care angajații accesează datele sensibile, cum ar fi utilizarea VPN-urilor și configurațiile securizate ale aplicațiilor. În plus, organizațiile pot lua în considerare stimularea angajaților pentru a-și actualiza dispozitivele personale învechite utilizate pentru accesul de la distanță.