Plaša mēroga kiberizlūkošanas operācija, kas tiek piedēvēta Krievijas militārajam izlūkdienestam jeb GRU (Krievijas Bruņoto spēku Ģenerālštāba Galvenajai pārvaldei) ir atklāta pēc kopīgas starptautiskas izmeklēšanas. Kampaņa bija vērsta pret lietotājiem Ukrainā, Eiropā un Amerikas Savienotajās Valstīs, izmantojot ievainojamus mājas un biroju Wi-Fi maršrutētājus.
Operācija saistīta ar GRU vienību 26165, kas kiberdrošības aprindās plaši pazīstama kā “Fancy Bear” jeb APT28 - grupa ar ilggadēju pieredzi kiberizlūkošanas un ietekmes operāciju īstenošanā. Tā jau iepriekš bijusi saistīta ar uzbrukumiem valsts iestādēm, aizsardzības nozares uzņēmumiem un politiskajām organizācijām visā pasaulē.
Saskaņā ar izmeklētāju sniegto informāciju, uzbrucēji izmantoja maršrutētājus, kuriem nebija atjauninātu drošības aizsardzības mehānismu. Pēc piekļuves iegūšanas viņi novirzīja interneta datplūsmu caur kontrolētu serveru tīklu un ļaunprātīgu programmatūru. Tas ļāva pārtvert paroles, autentifikācijas marķierus, e-pastus un citus sensitīvus datus, pat ja tie bija aizsargāti ar šifrēšanas protokoliem, piemēram, SSL un TLS.
Ieņemot starpnieka pozīciju interneta datplūsmā jeb metodi, ko dēvē par “cilvēks vidū” (man-in-the-middle) uzbrukumu hakeri varēja nemanāmi vākt lielus informācijas apjomus bez tūlītējas atklāšanas. Tiek ziņots, ka šī kampaņa darbojas vismaz kopš 2024. gada un skārusi plašu mērķu loku visā pasaulē.
Operācija īpaši koncentrējās uz saziņu, kas saistīta ar valdības amatpersonām, militārpersonām un personām, kuras iesaistītas kritiskās infrastruktūras un aizsardzības nozarē. Iegūtie dati bija paredzēti turpmāku kiberuzbrukumu veikšanai, izlūkošanas informācijas vākšanai un dezinformācijas kampaņu atbalstam. Varasiestādes izjauca vairāk nekā 100 ar šo operāciju saistītus serverus un atguva kontroli pār simtiem kompromitētu maršrutētāju Ukrainā. Izmeklēšana turpinās, lai identificētu atbildīgos un uzsāktu tiesvedību.
Amatpersonas brīdina, ka šī kampaņa izgaismo ilgstošas ievainojamības plaši izmantotā tīkla aprīkojumā. Lietotāji tiek aicināti atjaunināt maršrutētāju programmatūru, instalēt drošības ielāpus, nomainīt novecojušas ierīces, mainīt noklusējuma paroles, atspējot attālinātās pārvaldības funkcijas un regulāri pārbaudīt aizdomīgas konfigurācijas.
