Federalni istražni biro (FBI), u saradnji sa Rumunskom obaveštajnom službom (SRI) i nizom međunarodnih partnera, objavio je uspešno suzbijanje dugotrajnog sajber napada koji je ciljao osetljivu infrastrukturu u nekoliko zapadnih država. Operaciju su sproveli sajber operativci povezani sa ruskom vojnom obaveštajnom službom (GRU), sa ciljem prikupljanja vojnih, vladinih i kritičnih informacija. Ovakve aktivnosti potvrđuju da Rusija nastavlja svoj hibridni rat protiv zapadnih zemalja, što je sada jasno svima osim onima koji postupaju u lošoj nameri.
Sajber akteri Glavne uprave Generalštaba Rusije, konkretno jedinica poznata kao 85. GTsSS ili APT28 (Fancy Bear), koristili su ranjive rutere širom sveta za presretanje i krađu osetljivih podataka. Američko Ministarstvo pravde i FBI nedavno su razbili mrežu kompromitovanih rutera za male kancelarije i kućnu upotrebu (SOHO) koji su služili za sprovođenje zlonamernih operacija „otmice DNS-a“. U ovoj zajedničkoj akciji i upozorenju javnosti učestvovali su i partneri iz Kanade, Češke, Danske, Estonije, Finske, Nemačke, Italije, Letonije, Litvanije, Norveške, Poljske, Portugalije, Rumunije, Slovačke i Ukrajine.
Mehanizam napada, koji je aktivan najmanje od 2024. godine, oslanjao se na eksploataciju propusta u uređajima poput TP-Link rutera. Napadači su menjali podešavanja DNS protokola na uređajima kako bi uveli kontrolere koje sami nadziru, čime su svi povezani uređaji, uključujući telefone i laptopove, nasledili modifikovana podešavanja. Na taj način, GRU je mogao da pruža lažne DNS odgovore za specifične domene, kao što je Microsoft Outlook Web Access, omogućavajući napade tipa „posrednik u sredini“ (AitM) čak i na kriptovanom saobraćaju ukoliko bi korisnici ignorisali upozorenja o sertifikatima.
Kroz ove operacije, ruski obaveštajci su prikupljali lozinke, tokene za autentifikaciju i osetljive informacije poput e-pošte i podataka o pretraživanju interneta, koji su inače zaštićeni SSL i TLS enkripcijom. Iako su kompromitovali širok krug korisnika globalno, fokus je bio na filtriranju podataka koji su direktno povezani sa vojskom, vladom i kritičnom infrastrukturom. FBI i partneri naglašavaju da je neophodno da vlasnici rutera preduzmu hitne mere zaštite, uključujući ažuriranje firmvera, promenu podrazumevanih korisničkih imena i lozinki, kao i onemogućavanje interfejsa za daljinsko upravljanje putem interneta.
Organizacije koje dozvoljavaju rad na daljinu pozvane su da revidiraju politike pristupa osetljivim podacima, uz obaveznu upotrebu VPN mreža i ojačanih konfiguracija aplikacija. Korisnici se posebno upozoravaju da pažljivo razmotre sva upozorenja o sertifikatima u veb pretraživačima i klijentima e-pošte, jer ignorisanje takvih signala direktno omogućava napadačima uvid u nešifrovani saobraćaj. Rumunija i ostali partneri ističu da je kontinuirana koordinacija sa zapadnim saveznicima ključna za unapređenje sajber bezbednosti i odbranu od kontinuiranih ruskih hibridnih pretnji koje ne pokazuju znake posustajanja.
