Serviciul Român de Informații, prin intermediul Centrului Național Cyberint, a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care s-a reușit disruperea unei infrastructuri de atac formate din dispozitive de comunicații (routere), utilizate de actorul cibernetic rus APT28/ FANCY BEAR, atribuit GRU.
Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental.
Modul de operare al actorului cibernetic evidențiază necesitatea adoptării unor măsuri de protecție din partea tuturor utilizatorilor de dispozitive SOHO (small-office home-office – echipamente pentru lucru de acasă sau birouri mici), precum:
- înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări;
- realizarea actualizărilor de firmware;
- verificarea autenticității conexiunilor realizate de dispozitivele de rețea;
- revizuirea regulilor firewall pentru a limita expunerea conexiunilor neautorizate de la distanță.
Operațiunea de disrupere a afectat operațiunile cibernetice derulate în prezent de APT28 prin exploatarea echipamentelor de tip router și limitează semnificativ capabilitățile atacatorului de a derula atacuri cibernetice viitoare utilizând această infrastructură de atac.
Comunicatul din SUA :
Actorii cibernetici din cadrul Direcției Principale de Informații a Statului Major General (GRU) din Rusia exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile despre infrastructura militară, guvernamentală și critică.
Departamentul de Justiție al SUA și FBI au perturbat recent o rețea GRU de routere compromise pentru birouri mici și birouri de acasă (SOHO), utilizate pentru a facilita operațiuni malițioase de deturnare DNS.
FBI și următorii parteneri publică acest anunț pentru a avertiza publicul și a încuraja apărătorii de rețele și proprietarii de dispozitive să ia măsuri pentru a remedia și a reduce suprafața de atac a dispozitivelor similare de la marginea conexiunii: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
APT28, cunoscut și sub numele de Fancy Bear, Sofacy, Sednit, STRONTIUM și Pawn Storm, este un grup de amenințări persistente avansate (APT) sponsorizat de statul rus, care continuă să reprezinte o amenințare cibernetică semnificativă prin spionajul și operațiunile sale perturbatoare.
Informațiile recente indică o evoluție a tacticilor, tehnicilor și procedurilor (TTP) ale grupului, ceea ce face ca atacurile lor să fie mai dificil de detectat și atenuat. Această analiză evidențiază o schimbare critică în strategia de direcționare a APT28, care include acum o gamă mai largă de infrastructuri critice și organizații din sectorul privat. Această schimbare subliniază amenințarea tot mai mare la adresa securității naționale, a stabilității economice și a rezilienței organizaționale.
Activitățile APT28 se aliniază cu strategia mai amplă de război cibernetic a Rusiei, contribuind la peisajul general al riscului cibernetic geopolitic. Operațiunile lor sunt concepute nu numai pentru a colecta informații, ci și pentru a submina capacitățile adversarilor lor, escaladând astfel tensiunile internaționale.
Unitatea militară 26165 a Regimentului 85 GTsSS din cadrul GRU rusesc — cunoscută în comunitatea de securitate cibernetică sub numele de APT28, Fancy Bear, Forest Blizzard, BlueDelta și o varietate de alți identificatori — a desfășurat această campanie folosind o combinație de tactici, tehnici și proceduri (TTP) cunoscute, inclusiv capacități reconstituite de pulverizare a parolelor, spearphishing și modificarea permisiunilor cutiei poștale Microsoft Exchange.
Campania cibernetică a unității GRU 26165 împotriva furnizorilor de logistică și a companiilor de tehnologie occidentale a vizat zeci de entități, inclusiv organizații guvernamentale și entități private/comerciale în practic toate modurile de transport: aerian, maritim și feroviar. Acești actori au vizat entități asociate cu următoarele ţinte din statele membre NATO, Ucraina și din organizațiile internaționale:
Industria Apărării
Transporturi și centre de transport (porturi, aeroporturi etc.)
Maritim
Managementul traficului aerian
Servicii IT
