Polski kontrwywiad w akcji z FBI i SBU. Uderzenie w rosyjską operację szpiegowską
Służba Bezpieczeństwa Ukrainy wspólnie z FBI, służbami kontrwywiadowczymi Polski oraz organami ścigania państw Unii Europejskiej przeprowadziła skoordynowaną operację cybernetyczną wymierzoną w działalność rosyjskiego wywiadu wojskowego.
W wyniku działań ujawniono szeroko zakrojoną operację szpiegowską prowadzoną przez rosyjskie GRU, polegającą na przejmowaniu kontroli nad domowymi i biurowymi routerami Wi-Fi w Ukrainie, USA i krajach UE.
Celem były urządzenia typu SOHO, które nie spełniały aktualnych standardów bezpieczeństwa. Po uzyskaniu dostępu do takich routerów rosyjskie służby przekierowywały ruch internetowy przez kontrolowaną przez siebie infrastrukturę serwerów DNS (system nazw domenowych przekształcający adresy stron internetowych w odpowiadające im adresy IP).
W praktyce oznaczało to, że stawały się pośrednikiem w komunikacji internetowej użytkowników. Dzięki temu mogły przechwytywać hasła, tokeny uwierzytelniające oraz inne wrażliwe dane, w tym treść korespondencji elektronicznej, mimo stosowania zabezpieczeń takich jak SSL (Secure Sockets Layer) i TLS (Transport Layer Security).
Zebrane informacje miały posłużyć do przeprowadzania cyberataków, operacji informacyjnych oraz działań wywiadowczych. Szczególnym zainteresowaniem objęte były dane wymieniane przez pracowników instytucji państwowych, żołnierzy oraz przedsiębiorstwa sektora obronnego.
W wyniku wspólnej operacji zablokowano ponad 100 serwerów oraz odzyskano kontrolę nad setkami routerów na terytorium Ukrainy, co – według SBU – znacząco ograniczyło możliwości operacyjne rosyjskiego wywiadu i zapobiegło potencjalnemu niszczeniu sprzętu na poziomie oprogramowania.
Działania służb nadal trwają i mają na celu identyfikację oraz pociągnięcie do odpowiedzialności wszystkich osób zaangażowanych w operację.
SBU wydała również zalecenia dla użytkowników. Właściciele routerów powinni sprawdzić model urządzenia, zaktualizować oprogramowanie do najnowszej wersji oraz upewnić się, że producent nadal zapewnia wsparcie bezpieczeństwa. W przypadku jego braku rekomendowana jest wymiana sprzętu.
Po aktualizacji należy zmienić hasło dostępu, wyłączyć możliwość zdalnego zarządzania z poziomu internetu oraz sprawdzić konfigurację urządzenia pod kątem nieautoryzowanych zmian.
Operatorzy telekomunikacyjni zostali wezwani do wsparcia użytkowników we wdrażaniu tych środków bezpieczeństwa.
Źródło: SBU