У США нейтралізували мережу ГРУ, яка шпигувала за користувачами Інтернету

Про нейтралізацію мережі, контрольованої російським управлінням військової розвідки (ГРУ), оголосило Міністерство юстиції США у вівторок, 7 квітня. Ця мережа використовувалася московитами для захоплення DNS, спрямовуючи користувачів Інтернету на фальшиві вебсайти. У результаті операції, як підкреслили у Мінюсті, хакерам було відрізано доступ до тисяч маршрутизаторів та захищено токени автентифікації й паролі жертв від шпигунства.

Йдеться, зокрема, про підрозділ Головного розвідувального управління Генерального штабу (ГРУ) росії військової частини 26165, також відомого як APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear та Sednit. Під прицілом московитів опинились особи, які працюють у військовій сфері, уряді та секторах критичної інфраструктури. Пов'язані з ГРУ організації взяли під контроль пристрої у Сполучених Штатах та багатьох інших країнах, що дозволило їм проводити масштабні шпигунські операції.

Працювали у 15 країнах

Як наголосив Бретт Лезерман, заступник директора кібервідділу ФБР, цитований агентством Reuters, масштаб загрози був настільки серйозним, що простого попередження громадськості було б недостатньо.

Принаймні з 2024 року зловмисники GRU використовували відомі вразливості для викрадення облікових даних тисяч маршрутизаторів TP-Link по всьому світу. Ці дії дозволили російським хакерам фільтрувати дані, що передаються через Інтернет, щоб ідентифікувати конкретних жертв. Після визначення цілі вони перехоплювали її незашифровану активність, що дозволяло їм красти паролі, вміст електронної пошти та токени автентифікації. Ці токени діють як цифрові ключі, що дозволяють хакерам залишатися вхідними в чужий обліковий запис без необхідності повторного введення пароля.

В рамках операції під кодовою назвою «Операція «Маскарад» ФБР виявило заражені пристрої в США, зібрало докази ворожої діяльності, а потім заблокувало доступ російським агентам і відновило нормальну роботу обладнання. 

Як описано в судових документах, уряд ретельно протестував операцію на прошивці та апаратному забезпеченні уражених маршрутизаторів TP-Link. Окрім перешкоджання доступу ГРУ до маршрутизаторів, операція не вплинула на нормальну роботу маршрутизаторів і не збирала інформацію про контент законних користувачів.

«Російська військова розвідка знову захопила обладнання американців, щоб викрасти критично важливі дані, – заявив прокурор США Девід Меткалф у Східному окрузі Пенсільванії. - Перед обличчям триваючої агресії з боку наших держав-супротивників уряд США відповість так само агресивно. Працюючи з ФБР – та нашими партнерами по всьому світу – ми прагнемо зривати та викривати такі загрози кібербезпеці нашої країни».

Загалом у нейтралізації загрози брали участь партнери з 15 країн. Офіційні особи зазначили, що без цього втручання російська військова розвідка продовжувала б перехоплювати конфіденційну інформацію, що становило б постійну загрозу цифровій безпеці.

За даними Reuters, британська та німецька влада також опублікували попередження про таку ж хакерську кампанію у вівторок.

Microsoft, яка аналізувала справу до офіційної заяви Міністерства юстиції США, зазначила, що це ще один приклад технологічних розвідувальних операцій, проведених російськими військовими. 

Експертний аналіз показує, що могли постраждати понад 200 організацій та 5000 окремих користувачів. Black Lotus Labs, компанія Lumen Technologies, уточнила, що атаки були зосереджені переважно на урядових установах, міністерствах закордонних справ та правоохоронних органах.

Хоча експерти не назвали конкретних установ, вони вказали, що цілі були розташовані в Сполучених Штатах, Європі, Північній Африці, Центральній Америці та Південно-Східній Азії, серед інших країн. Аналіз показав, що ці атаки поширилися майже на кожному континенті.