Un atac informatic de amploare, care a vizat infrastructuri sensibile din mai multe state occidentale a fost descructurat de FBI, în cooperare cu parteneri internaționali, inclusiv SRI. Informația vine chiar de la președintele Nicușor Dan.
Sub coordonarea GRU, serviciul de informații al armatei ruse, hackerii vânau informații militare, guvernamentale și despre infrastructuri critice. Grupări din cadrul Centrului Principal de Servicii Speciale 85 GRU, precum Fancy Bear și Forest Blizzard, acționau cel puțin din 2024, potrivit informării FBI.
Hackerii au folosit în special echipamente de tip small-office/home-office (SOHO), insuficient securizate, pentru a facilita operațiuni de deturnare a traficului DNS. Astfel, GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și informații de navigare web, protejate în mod normal prin criptare SSL și TLS.
GRU a compromis fără discriminare o gamă largă de victime din SUA și din întreaga lume și apoi a filtrat utilizatorii afectați, vizând în special informații legate de armată, guvern și infrastructură critică, transmit federalii americani.
Eforturile au presupus implicare din partea NSA, dar și a unor agenții de informații din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.
Ce este Fancy Bear, gruparea de hackeri asociată GRU
Fancy Bear, cunoscut și sub numele de APT28, este una dintre cele mai cunoscute grupări de spionaj cibernetic asociate serviciului de informații militare al Rusiei (GRU).
Acest grup de spionaj cibernetic susținut de guvernul rus este activ cel puțin din 2008. Identificarea Fancy Bear nu a fost ușoară. Se crede că grupul este asociat cu o unitate GRU, agenția de informații militare a Rusiei. Fancy Bear a fost legat de numeroase atacuri cibernetice de mare amploare, inclusiv spargerea sistemului de email al Comitetului Național Democrat (DNC) înaintea alegerilor prezidențiale din SUA din 2016. Țintele grupului au inclus guverne, organizații militare, instituții media și think tank-uri, arată Coro.net.
Activă de peste un deceniu, gruparea este specializată în atacuri informatice asupra:
- guvernelor
- instituțiilor militare
- organizațiilor internaționale
- infrastructurilor critice
Fancy Bear este foarte specializat în atacurile sale. Grupul vizează în principal state aliniate NATO și state din Transcaucazia cu relații ostile cu guvernul rus. Totuși, și companiile sunt îngrijorate de activitatea lor, deoarece au exploatat vulnerabilități în Adobe, Internet Explorer, Microsoft și Oracle. Recent, grupul a vizat o vulnerabilitate Outlook, care le-a permis să fure hash-uri NTLM pentru a pătrunde în rețele informatice.
Cum acționează hackerii
Metodele folosite de Fancy Bear sunt sofisticate și bine coordonate. Printre cele mai frecvente se numără:
- atacuri de tip phishing (emailuri false pentru furt de date)
- colectarea de parole și credențiale
- infiltrarea rețelelor informatice prin vulnerabilități
În multe cazuri, hackerii creează site-uri false sau compromit sisteme slab securizate pentru a obține acces la informații sensibile. Datele furate pot fi vândute, răscumpărate sau exploatate în alte moduri.
Potrivit experților, Fancy Bear operează cu resurse semnificative și acționează în interesul statului rus, ceea ce o face una dintre cele mai periculoase amenințări cibernetice la nivel global.
Autoritățile americane au indicat că grupări precum Fancy Bear au fost implicate în operațiunile recente de spionaj cibernetic destructurate de FBI și partenerii internaționali.
Aceste atacuri au vizat inclusiv infrastructuri sensibile și au folosit metode similare, precum deturnarea traficului de internet și interceptarea comunicațiilor.
Atacurile Fancy Bear
Fancy Bear are o istorie lungă de atacuri asupra organizațiilor private și guvernamentale și este una dintre cele mai importante amenințări de securitate cibernetică. Iată câteva dintre atacurile lor notabile:
Bundestagul german
Fancy Bear a paralizat infrastructura IT a parlamentului Germaniei timp de mai multe zile în 2015. Atacul a durat luni întregi, iar 16 gigabytes de date furate au fost identificate. Hackerii au vizat și lideri politici germani, fiind considerată o tentativă de influențare a alegerilor.
TV5Monde
Pe 8 aprilie 2015, postul francez TV5Monde a fost victima unui atac cibernetic revendicat inițial de grupul CyberCaliphate. Ulterior s-a stabilit că atacul a fost realizat de Fancy Bear.
Hackerii au preluat controlul asupra site-ului și conturilor de social media și au difuzat propagandă jihadistă. De asemenea, au întrerupt transmisia celor 12 canale timp de câteva ore.
Agenția Mondială Anti-Doping (WADA)
În 2016, WADA a fost victima unui atac cibernetic. Hackerii au furat date despre sportivi și au încercat să le manipuleze pentru a-i discredita. Atacul a avut un impact major asupra sportivilor vizați, ale căror date personale au fost făcute publice.
Comitetul Național Democrat (DNC)
În 2016, DNC a fost victima unui atac cibernetic major. Fancy Bear a trimis emailuri de phishing angajaților, obținând acces la serverele de email și furând informații sensibile, inclusiv mesaje ale echipei lui Hillary Clinton. Publicarea acestor emailuri a avut un impact semnificativ asupra alegerilor prezidențiale din SUA.
