O rețea de hackeri susținuți de GRU, serviciul de informații al armatei ruse, a fost eliminată în urma unei operațiuni internaționale, implicând Statele Unite și mai multe state europene, inclusiv România. Gruparea avea ca scop interceptarea și furtul de informații sensibile din domeniul militar, guvernamental și infrastructura critică, folosind routere compromisе.
Implicarea autorităților și colaborarea internațională
Departamentul pentru Justiție al SUA și FBI au anunțat destrămarea rețelei, menționând colaborarea cu Agenția Națională de Securitate (NSA) și parteneri din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina. În România, Serviciul Român de Informații (SRI) a participat la operațiune prin Centrul Național Cyberint, conform declarației președintelui Nicușor Dan.
Modalitatea de operare și țintele vizate
Rețeaua folosea routere compromise pentru a colecta parole, tokenuri de autentificare și alte informații sensibile, inclusiv e-mailuri și istoricul de navigare. Actorii cibernetici au exploitata vulnerabilitate CVE-2023-50224 pentru a modifica setările routerelor TP-Link, preluând controlul asupra acestora și utilizându-le pentru activități malițioase.
Potrivit SRI, Gruparea GRU a compromis o gamă largă de entități la nivel mondial, cu accent pe infrastructură critică și informații militare și guvernamentale. Membrii rețelei au manipulat orice server compromis, utilizând un proces automat pentru a filtra țintele valorice.
Impactul și amploarea atacurilor
Autoritățile americane subliniază că gruparea a colectat parole, tokenuri de autentificare, precum și date protejate prin criptare, precum e-mailuri și istoricul de navigare web. Au fost vizate în special ținte din SUA și alte părți ale lumii cu informații legate de apărare și infrastructură critică.
Deținutul control asupra routerelor le-a permis actorilor din cadrul grupului să fie extrem de selectivi în alegerea țintelor, utilizând un sistem automat pentru a determina care dispozitive compromise merită urmărite mai departe. Inclusiv România a fost vizată, potrivit declarațiilor oficiale.
Concluzii și urmări
Operațiunea „Masquerade” a dus la eliminarea unei rețele de criminalitate cibernetică de amploare, implicată în colaborarea internațională a fost încheiată cu succes. Acțiunea a vizat reducerea riscurilor legate de furtul de informații militare și guvernamentale și a consolidat colaborarea între serviciile de securitate ale statelor implicate.
