Об успешной операции против российских хакеров ГРУ заявили спецслужбы Финляндии
Хакеры, связанные с российской военной разведкой, взламывали уязвимые домашние и офисные роутеры, меняли их настройки и незаметно перенаправляли интернет-трафик через подконтрольные серверы, получая доступ к паролям, переписке и другим чувствительным данным пользователей.
Масштабная международная операция с участием спецслужб США, стран ЕС, Украины и Финляндии привела к раскрытию и частичной нейтрализации глобальной сети кибершпионажа, связанной с российской военной разведкой. Речь идет о деятельности хакерской группировки, известной под названиями APT28, Fancy Bear и Forest Blizzard.
По данным финской Службы безопасности и разведки (SUPO) и Национального центра кибербезопасности Финляндии (NCSC-FI), злоумышленники активно использовали уязвимые домашние и офисные маршрутизаторы, особенно устройства TP-Link, для создания распределенной инфраструктуры слежки. Ключевой проблемой стала уязвимость (CVE-2023-50224), позволяющая удаленно получать пароли и ключи доступа к устройствам.
После взлома роутеров атакующие изменяли DNS-настройки, перенаправляя интернет-трафик через подконтрольные серверы. Это давало возможность перехватывать данные, включая учетные записи, токены авторизации и переписку.
Мы не комментируем публично отдельные случаи кибершпионажа или их цели. Однако скомпрометированные устройства в Финляндии использовались описанным образом как часть глобальной сети кибершпионажа ГРУ. Через устройства в Финляндии вредоносный трафик мог направляться как к целям внутри Финляндии, так и в третьи страны», – заявили представители SUPO в ответ на вопросы Barents Observer.
Также в ведомстве рассказали, что подобные операции кибершпионажа не являются делом отдельных хакеров: за ними стоят крупные, хорошо организованные группы, действующие при поддержке государственных разведывательных структур. При этом за последние годы ряд стран, включая США, уже выдвигали обвинения против отдельных офицеров ГРУ, подозреваемых в кибершпионаже, компьютерном мошенничестве и незаконном доступе к информационным системам.
Служба безопасности Украины (СБУ) сообщила, что в ходе операции были выявлены многочисленные случаи компрометации роутеров в Украине, странах ЕС и США. Только на территории Украины удалось вывести из-под контроля злоумышленников сотни устройств и заблокировать более 100 серверов.
По данным ФБР, кибероперации проводились как минимум с 2024 года сотрудниками 85-го Главного центра специальной службы Минобороны РФ (в/ч 26165). Основной задачей было получение доступа к чувствительной информации, включая данные государственных органов, военных структур и предприятий оборонной промышленности.
Немецкое Федеральное ведомство по защите конституции подтвердило, что в Германии также были выявлено около 30 скомпрометированных устройств. Владельцы получили предупреждения, а часть оборудования была заменена.
Группировка Fancy Bear (также известная как APT28, Sofacy и Forest Blizzard) действует, по оценкам западных спецслужб, с середины 2000-х годов и связывается с российской военной разведкой. Ей приписывают кибератаки на государственные органы, военные структуры и международные организации, включая взлом Бундестага в 2015 году и операции против стран НАТО.
