Serviciile de informații occidentale, inclusiv FBI și SRI, au reușit să întrerupă o operațiune de spionaj cibernetic a GRU-ului, serviciul de informații al armatei ruse. Conform președintelui Nicușor Dan, actorii cibernetici asociați cu GRU au colectat informații militare, guvernamentale și legate de infrastructurile critice, însă activitatea a fost oprită înainte de a provoca prejudicii majore.
Activități ale GRU și metode de operare
Actorii cibernetici ai GRU, cunoscuți sub numele de APT28, Fancy Bear și Forest Blizzard, exploatau routere vulnerabile pentru a fura informații sensibile. Au modificat setările DHCP și DNS ale dispozitivelor conectate, inclusiv laptopuri și telefoane, pentru a intercepta traficul și a realiza atacuri de tip „adversary-in-the-middle” (AitM).
Acești actori au folosit vulnerabilitatea CVE-2023-50224 pentru a compromite routere TP-Link la nivel global. Infrastructura controlată de aceștia redirecționa cererile DNS și furniza răspunsuri frauduloase pentru anumite domenii, inclusiv Microsoft Outlook Web Access, facilitând interceptarea și extragerea de parole, token-uri de autentificare și alte date protejate criptografic.
Impactul și scopurile operațiunii
Conform alertei FBI I-040726-PSA din 7 aprilie 2026, GRU a vizat dispozitive din SUA și din alte țări, sustrăgând informații legate de armată, guvern și infrastructură critică. Informațiile sensibile includeau parole, adrese de email, date de navigare și token-uri de autentificare, toate suplimentar expuse prin interceptarea traficului criptat SSL și TLS.
Operațiunea a vizat în mod egal compuți din sectorul privat și instituții guvernamentale, domenii în care România, ca parte a parteneriatului internațional, a fost urmărită în contextul colaborării în cadrul acțiunii globale.
Reacția și măsurile de protecție
FBI și partenerii internaționali au recomandat utilizatorilor să își actualizeze firmware-ul routerelor, să schimbe parolele implicite și să dezactiveze managearea dispozitivelor de la distanță prin internet. Organizațiile care permit accesul la distanță trebuie să revizuiască politicile interne și să stimuleze actualizarea dispozitivelor persoanale folosite pentru muncă.
Nicușor Dan a subliniat că România trebuie să își îmbunătățească continuu securitatea cibernetică și să colaboreze cu partenerii occidentali pentru a preveni astfel de atacuri. El a mai spus că, în cazul în care cetățenii sau organizațiile suspectează că au fost ținta unui atac, trebuie să raporteze incidentul autorităților competente.