Служба безопасности Украины (СБУ) совместно с Федеральным бюро расследований США (ФБР) и международными партнерами провела масштабную кибероперацию против хакерской инфраструктуры российской военной разведки — Главного разведывательного управления России (ГРУ).
По данным украинской стороны, в операции участвовали также контрразведывательные органы Польши и правоохранительные структуры стран ЕС. В результате удалось нейтрализовать деятельность сети, которая использовалась для массового кибершпионажа против граждан и организаций в Украине, странах ЕС и США.
Речь идет о кампании, в рамках которой хакеры взламывали уязвимые Wi-Fi-роутеры — как домашние, так и офисные (так называемое SOHO-оборудование). Основной целью становились устройства с устаревшими прошивками и недостаточными мерами защиты.
По информации СБУ, после компрометации устройств злоумышленники перенаправляли интернет-трафик через подконтрольные DNS-серверы. Это позволяло им фактически становиться посредниками между пользователем и интернет-ресурсами.
В ФБР прямо указали, что за операциями стоит 85-й Главный центр специальной службы Главного разведывательного управления России. Эта структура также известна под названиями APT28, Fancy Bear и Forest Blizzard и ранее уже связывалась с масштабными кибершпионскими и диверсионными операциями против стран Запада.
В ведомстве отметили, что российские киберподразделения проводили операции по DNS-перехвату, подменяя настройки маршрутизаторов.
В результате атак злоумышленники получали доступ к конфиденциальной информации: паролям, токенам аутентификации, электронной почте и данным веб-серфинга. Причем речь идет даже о трафике, который обычно защищен протоколами SSL и TLS — в отдельных случаях хакеры могли расшифровывать его с помощью атак типа «человек посередине» (AitM), если пользователь игнорировал предупреждения безопасности.
Особое внимание, как отмечают спецслужбы, уделялось данным, связанным с военными, государственными структурами и объектами критической инфраструктуры.
В ходе операции было заблокировано более 100 серверов, а также выведены из-под контроля злоумышленников сотни зараженных маршрутизаторов только на территории Украины. Это существенно ограничило разведывательные возможности российской стороны и предотвратило дальнейшие кибератаки.
В Национальном агентстве безопасности и других западных структурах подчеркнули, что атаки носили глобальный характер и затрагивали пользователей по всему миру.
Спецслужбы призывают владельцев роутеров срочно обновить программное обеспечение устройств, сменить пароли, отключить удаленный доступ и при необходимости заменить устаревшее оборудование. Также пользователям рекомендуют внимательно относиться к предупреждениям браузеров о проблемах с сертификатами безопасности.