O amplă operațiune de spionaj cibernetic atribuită serviciilor militare ruse a fost dejucată de autoritățile americane, în colaborare cu parteneri internaționali, inclusiv Serviciul Român de Informații. Potrivit Federal Bureau of Investigation, atacurile au vizat infrastructuri digitale sensibile din mai multe state occidentale, inclusiv România, și au fost coordonate de actori afiliați GRU.
Cum funcționa mecanismul de atac
Investigațiile arată că gruparea, cunoscută și sub numele de APT28 sau Fancy Bear, a exploatat vulnerabilități în routere de tip SOHO (folosite în locuințe și birouri mici) pentru a obține acces la fluxuri de date sensibile.
Mai exact, atacatorii:
- identificau routere vulnerabile la nivel global;
- modificau setările DNS (sistemul care traduce adresele web în adrese IP);
- redirecționau traficul utilizatorilor către servere controlate de ei.
Această tehnică, cunoscută sub numele de „DNS hijacking”, le permitea să intercepteze comunicații considerate sigure. În anumite situații, utilizatorii erau redirecționați către pagini false care imitau servicii legitime, precum platforme de email sau aplicații guvernamentale.
Dacă victimele ignorau avertismentele de securitate ale browserului, atacatorii puteau:
- fura parole și tokenuri de autentificare;
- accesa emailuri și documente sensibile;
- monitoriza activitatea online, inclusiv în rețele considerate securizate.
Ținte: infrastructuri critice și instituții publice
Potrivit comunicatului oficial, operațiunea a vizat în mod selectiv:
- instituții guvernamentale;
- structuri militare;
- operatori de infrastructuri critice (energie, telecomunicații).
Deși compromiterea inițială a fost larg răspândită, atacatorii filtrau ulterior victimele pentru a extrage informații relevante strategic.
România, parte a frontului cibernetic
România se numără printre statele implicate în efortul de contracarare a acestor atacuri, alături de alte țări europene și nord-americane. Participarea Serviciul Român de Informații confirmă că amenințarea a avut impact și asupra infrastructurii digitale naționale sau a fost considerată suficient de serioasă pentru a necesita coordonare internațională.
Context: intensificarea războiului hibrid
Acțiunea se înscrie într-un tipar mai larg de operațiuni de tip „război hibrid”, în care atacurile cibernetice sunt utilizate pentru colectare de informații, destabilizare și influență strategică. Activitatea grupării asociate GRU este documentată de ani de zile în atacuri asupra statelor occidentale.
Recomandări pentru utilizatori și instituții
Autoritățile recomandă măsuri imediate pentru reducerea riscurilor:
- actualizarea firmware-ului routerelor;
- schimbarea parolelor implicite;
- dezactivarea administrării de la distanță;
- atenție sporită la avertismentele de securitate din browser.
Pentru organizații, este esențială securizarea accesului de la distanță și utilizarea rețelelor private virtuale (VPN).
Operațiunea recentă demonstrează că infrastructura digitală rămâne un câmp de luptă activ, iar cooperarea internațională este esențială pentru detectarea și neutralizarea amenințărilor emergente. România, ca parte a acestui ecosistem, se află atât în postura de potențială țintă, cât și de actor implicat în apărarea colectivă.