FBI și SRI au destructurat rețeaua de spionaj GRU care viza infrastructura NATO
FBI, SRI și serviciile de informații din alte 14 țări membre NATO au destructurat o vastă rețea de spionaj rusă care fura informații militare, guvernamentale și din domeniul infrastructurii critice prin exploatarea routerelor vulnerabile. Operațiunea Masquerade, condusă de FBI, a neutralizat grupul APT28, cunoscut și sub numele Forest Blizzard sau Fancy Bear, care acționa sub controlul Direcției Principale de Informații a Statului Major General al Forțelor Armate Ruse (GRU).
Ce s-a întâmplat
Rețeaua de spionaj rusă a exploatat vulnerabilități în routerele TP-Link și MikroTik pentru a modifica setările DNS și a intercepta traficul internet al organizațiilor țintă. Grupul APT28 a compromis peste 18.000 de dispozitive în cel puțin 120 de țări, afectând mai mult de 200 de organizații și 5.000 de dispozitive de consum. Campania de spionaj a atins punctul maxim în decembrie 2025, când atacatorii au intensificat operațiunile de interceptare a credențialelor.
Operațiunea Masquerade a fost o acțiune colaborativă care a implicat FBI, procurorii federali americani, secțiunea de securitate cibernetică a Diviziei de Securitate Națională, laboratoarele Black Lotus Labs ale companiei Lumen și Microsoft Threat Intelligence. Acțiunea a constat în resetarea setărilor DNS ale routerelor compromise pentru a preveni continuarea exploatării.
Grupul GRU a folosit o tehnică de tip adversary-in-the-middle (AitM) prin care modifica setările DHCP și DNS ale routerelor vulnerabile, redirecționând traficul dispozitivelor conectate prin infrastructura controlată de atacatori. Această metodă le-a permis să captureze traficul victimelor și să fure credențiale de autentificare pentru organizații cu valoare strategică ridicată.
Potrivit agenției de securitate cibernetică a Regatului Unit NCSC și laboratoarele Black Lotus Labs, atacatorii au vizat routere nepatchuite folosind vulnerabilități cunoscute anterior. Campania a fost activă cel puțin din mai 2025, dacă nu din 2024, și a interceptat traficul internet al organizațiilor din sectorul militar, guvernamental și al infrastructurii critice la nivel global.
APT28 intensifică operațiunile de spionaj cibernetic
Grupul APT28, asociat de guvernele occidentale cu Unitatea de Informații Militare 26165 din cadrul Centrului Principal de Servicii Speciale 85 al GRU, este cunoscut sub multiple denumiri, inclusiv Fancy Bear, Strontium și Sednit Gang. Agenția de informații interne a Germaniei BfV a emis o avertizare în colaborare cu serviciul de informații externe BND și FBI privind intensificarea atacurilor cibernetice ale acestui grup.
Departamentul de Justiție al SUA a indicat că organizațiile militare, guvernamentale și din infrastructura critică au fost țintele principale ale campaniei de spionaj. Atacatorii au exploatat în principal routere de tip SOHO (Small Office/Home Office) pentru a accesa rețelele organizațiilor cu valoare strategică ridicată din întreaga lume.
Operațiunea de neutralizare a implicat emiterea unei serii de comenzi destinate să reseteze setările DNS și să prevină exploatarea ulterioară a dispozitivelor compromise. Acțiunea coordonată a serviciilor de informații din 16 țări demonstrează amploarea amenințării reprezentate de rețeaua de spionaj GRU și necesitatea unei răspunsuri internaționale coordonate.