FBI și SRI, printre serviciile care au destructurat au atac informatic major realizat de actori cibernetici asociați GRU

Conform președintelui Nicușor Dan, actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice”, ar mai multe servicii de informații occidentale, printre care și SRI, au reușit să oprească operațiunea.

„Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a menționat Nicușor Dan.

Conform alertei FBI I-040726-PSA din 7 aprilie 2026, „GRU-ul rus exploatează routere vulnerabile pentru a fura informații sensibile”.

Biroul Federal e Investigații (FBI) notează că „actorii cibernetici ai Direcției Principale de Informații a Statului Major General rus (GRU) exploatează routere vulnerabile din întreaga lume pentru a intercepta și fura informații sensibile din domeniul militar, guvernamental și al infrastructurii critice. Departamentul de Justiție al SUA și FBI-ul au dezorganizat recent o rețea a GRU-ului formată din routere compromise din mici afaceri și birouri la domiciliu (SOHO), utilizate pentru a facilita operațiuni rău intenționate de deturnare a DNS-ului”.

FBI și partenerii săi au dat publicității informația „pentru a avertiza publicul și a încuraja firmele de software care protejează rețelele și proprietarii de dispozitive să ia măsuri pentru remedierea și reducerea zonei de atac asupra dispozitivelor”

La operațiune au luat parte Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.

Încă din 2024 actori cibernetici ai Centrului Principal de Servicii Speciale nr. 85 al GRU (85 GTsSS) din Rusia — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224.

Actorii GRU au modificat setările protocolului de configurare dinamică a gazdei (DHCP) / sistemului de nume de domeniu (DNS) ale dispozitivelor. Dispozitivele conectate, inclusiv laptopurile și telefoanele, preiau automat aceste setări modificate. Infrastructura controlată de acești terți preia căutările pentru toate numele de domeniu. GRU furnizează răspunsuri DNS frauduloase pentru anumite domenii și servicii — inclusiv Microsoft Outlook Web Access — permițând atacuri de tip „adversary-in-the-middle” (AitM) împotriva traficului criptat dacă utilizatorii ignoră o avertizare de eroare de certificat. Aceste atacuri AitM le permit acestor terți să vadă traficul necriptat.

Conform FBI, în acest fel, GRU a sustras parole, token-uri de autentificare și informații sensibile, inclusiv adrese și parole de e-mail și date privind navigarea pe internet, care sunt de obicei protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security). GRU a compromis fără discriminare computere din SUA și din întreaga lume, apoi a selectat utilizatorii afectați, vizând în special informațiile legate de armată, guvern și infrastructura critică.

Utilizatorii de routere sunt încurajați să își actualizeze soft-urile dispozitivelor la care nu mai este disponibilă asistența tehnică, să instaleze cele mai recente versiuni de firmware, să schimbe numele de utilizator și parolele implicite și să dezactiveze interfețele de gestionare la distanță de pe internet. Toți utilizatorii ar trebui să acorde o atenție deosebită avertismentelor privind certificatele din browserele web și e-mail.

Totodată, organizațiile care permit munca la distanță ar trebui să revizuiască politicile relevante privind modul în care angajații accesează datele sensibile, cum ar fi utilizarea VPN-urilor și configurațiile de aplicații securizate. În plus, organizațiile pot lua în considerare stimularea angajaților să își actualizeze dispozitivele personale învechite implicate în accesul la distanță.

„Dacă bănuiești că ai fost ținta sau victima unui atac cibernetic al GRU-ului rus, raportează incidentul la biroul local al FBI”, sau al organismelor naționale în drept, se încheie alerta FBI din 7 aprilie 2026.