Служба безпеки спільно з ФБР, контррозвідувальними органами Республіки Польща та правоохоронними органами ЄС провела скоординовану кібероперацію з нейтралізації розвідувальної діяльності ворога на території України та держав-партнерів. За результатами міжнародної кібероперації викрито численні факти «зламу» російською воєнною розвідкою (більш відомою як гру) офісних, домашніх Wi-Fi роутерів українців та іноземних громадян (так зване SOHO-обладнання). Як повідомили в СБУ, російські спецслужбісти «полювали» на роутери, які не відповідали сучасним протоколам безпеки.
Після «проникнення» до вразливих інтернет-пристроїв рашисти перенаправляли їх трафік через заздалегідь розгорнуту мережу DNS-серверів (перетворюють назви ресурсів Інтернету в їх ІР-адреси, які однозначно ідентифікують сервер призначення).
У такий спосіб вони ставали «посередниками» в онлайн-просторі, щоб збирати паролі, токени автентифікації та іншу чутливу інформацію, включно з електронними листами, які за нормальних умов захищені криптографічними протоколами SSL (secure sockets layer) та TLS (transport layer security).
Отримані відомості ворог планував використати для здійснення кібератак, інформдиверсій та збору розвідувальної інформації.
У зоні особливої уваги російської спецслужби була інформація, якою обмінюються співробітники та військовослужбовці держаних органів, підрозділів Сил оборони України, підприємств оборонно-промислового комплексу.
За результатами проведеної спільної кібероперації вдалося заблокувати понад 100 серверів та вивести з-під контролю ворога сотні маршрутизаторів лише в Україні, що суттєво послабило розвідувальні спроможності військової розвідки рф, запобігло знищенню обладнання на програмному рівні.
Наразі тривають комплексні заходи Служби безпеки України та її західних партнерів для притягнення до відповідальності всіх осіб, причетних до кіберзлочинів.
СБУ рекомендує всім власникам роутерів актуалізувати для себе модель та поточну версію програмного забезпечення пристрою, наявність актуальних оновлень безпеки до неї, їх невідкладно імплементувати.
У разі відсутності підтримки з боку виробника наполегливо пропонуємо замінити роутер на сучаснішу модель, у тому числі від іншої компанії. Після оновлення необхідно обов'язково змінити пароль доступу до пристрою, вимкнути можливість доступу до його панелі керування з мережі «Інтернет», перевірити налаштування та видалити підозріле.
Провайдерів телекомунікацій просимо надати сприяння своїм клієнтам у реалізації вищезазначених заходів кібербезпеки.
Розуміння операцій із викрадення DNS (інформація від IC3)
Щонайменше з 2024 року кіберсуб’єкти 85-го Головного центру спеціальної служби (85th GTsSS) російського ГРУ – також відомі як APT28, Fancy Bear та Forest Blizzard – здійснюють збір облікових даних і експлуатують вразливі маршрутизатори по всьому світу, зокрема компрометують роутери TP-Link із використанням вразливості CVE-2023-50224. Актори ГРУ змінюють налаштування протоколу динамічної конфігурації хостів (DHCP) / системи доменних імен (DNS) на пристроях, щоб впровадити DNS-резолвери, контрольовані зловмисниками. Підключені пристрої, зокрема ноутбуки та телефони, успадковують ці змінені налаштування. Інфраструктура, контрольована зловмисниками, обробляє та перехоплює запити до всіх доменних імен. Для окремих доменів і сервісів – включно з Microsoft Outlook Web Access – ГРУ надає підроблені DNS-відповіді, що дає змогу здійснювати атаки «зловмисник посередині» (AitM) проти зашифрованого трафіку, якщо користувачі ігнорують попередження про помилку сертифіката. Такі AitM-атаки дозволяють зловмисникам бачити трафік у незашифрованому вигляді.
ГРУ отримало доступ до паролів, токенів автентифікації та чутливої інформації, включно з електронною поштою і даними веб-перегляду, які зазвичай захищені шифруванням SSL (Secure Socket Layer) і TLS (Transport Layer Security). ГРУ без розбору компрометувало широку групу жертв у США та в усьому світі, після чого здійснювало відбір постраждалих користувачів, приділяючи особливу увагу інформації, пов’язаній із військовою сферою, державним управлінням і критичною інфраструктурою.
Читайте також: Тримайте ворота на замку або коротко про безпеку вашого маршрутизатора