VSD: Rusijos žvalgyba slapta perėmė interneto srautą per namų maršrutizatorius
JAV Federalinis tyrimų biuras (FBI) kartu su tarptautiniais partneriais paskelbė apie operaciją, kurios metu buvo sutrikdyta Rusijos karinės žvalgybos GRU veikla. Oficialioje informacijoje nurodoma, kad ši grupuotė ilgą laiką išnaudojo pažeidžiamus namų ir mažų biurų (SOHO) maršrutizatorius visame pasaulyje.
Lietuvos Valstybės saugumo departamentas (VSD) patvirtino, kad Lietuva taip pat dalyvavo šioje operacijoje. Pasak VSD, su GRU siejama grupė APT28 masiškai perimdavo maršrutizatorių kontrolę ir keisdavo jų DNS nustatymus, taip nukreipdama vartotojų interneto srautą per savo infrastruktūrą.
Tokiu būdu buvo sudarytos sąlygos rinkti jautrią informaciją. Tai apėmė prisijungimo duomenis, autentifikacijos žetonus, el. pašto turinį ir kitą naršymo informaciją, kuri įprastai yra apsaugota šifravimu.
FBI nurodo, kad tokios atakos vyko bent nuo 2024 metų ir iš pradžių buvo nukreiptos plačiai, o vėliau iš atrinktų įrenginių buvo ieškoma didesnės žvalgybinės vertės taikinių, susijusių su valstybės institucijomis, gynybos sektoriumi ir kritine infrastruktūra.
Atakos veikė paprastai: pakeitus DNS nustatymus buvo galima perimti vartotojų ryšį
Atakų esmė buvo išnaudoti neapsaugotus arba neatnaujintus maršrutizatorius. GRU veikėjai įsilauždavo į įrenginius pasinaudodami žinomomis saugumo spragomis, pavyzdžiui, anksčiau nustatytais pažeidžiamumais tam tikruose modeliuose.
Patekę į įrenginį, jie pakeisdavo DNS nustatymus. Tai reiškia, kad vartotojų užklausos būdavo nukreipiamos ne į įprastus serverius, o į užpuolikų valdomą infrastruktūrą. Visi prie tokio tinklo prijungti įrenginiai šiuos pakeitimus perimdavo automatiškai.
Toliau užpuolikai galėjo pateikti suklastotus atsakymus arba nukreipti vartotojus į netikras sistemas. Kai kuriais atvejais buvo įmanoma perimti net ir šifruotą ryšį, jei vartotojai nepaisydavo saugumo įspėjimų naršyklėje ar el. pašto programose.
Pasak FBI, tokiu būdu buvo renkami slaptažodžiai, autentifikacijos duomenys ir kita jautri informacija, kuri paprastai laikoma apsaugota.
Gyventojams ir organizacijoms rekomenduojama nedelsti ir sustiprinti savo kibernetinį saugumą
Institucijos pabrėžia, kad ši grėsmė yra reali ir aktuali ne tik valstybėms, bet ir paprastiems vartotojams.
„Gyventojai ir organizacijos raginami nuosekliai stiprinti kibernetinį saugumą ir imtis priemonių, mažinančių tinklo įrenginių pažeidžiamumą bei galimų incidentų riziką“, – skelbia Valstybės saugumo departamentas.
FBI ir tarptautiniai partneriai savo ruožtu pateikia konkrečias rekomendacijas, kaip sumažinti riziką:
– atnaujinti maršrutizatoriaus programinę įrangą (firmware)
– pakeisti numatytuosius slaptažodžius
– išjungti nuotolinį valdymą per internetą
– nebenaudoti pasenusių, nebepalaikomų įrenginių
Taip pat rekomenduojama atidžiai vertinti saugumo įspėjimus naršyklėse ir el. pašto programose. Jų ignoravimas gali sudaryti sąlygas perimti ryšį.
FBI papildomai ragina organizacijas peržiūrėti nuotolinio darbo saugumo sprendimus, pavyzdžiui, naudoti VPN ir užtikrinti saugias prieigas prie vidinių sistemų.[1]
