JAV ir kelių Europos šalių kibernetinio saugumo tarnybos pranešė atskleidusios plataus masto šnipinėjimo kampaniją, siejamą su Rusijos įsilaužėlių grupe Fancy Bear. Pasak pareigūnų, taikiniais tapo kariuomenės, valdžios institucijos ir kritinės infrastruktūros organizacijos, o prieiga dažnai buvo išgaunama pasinaudojant silpnai apsaugotais „Wi‑Fi“ maršrutizatoriais.
Bendrame pareiškime, kurį paskelbė JAV ir partnerių institucijos, nurodoma, kad operacijoje dalyvavo ir teisėsaugos bei žvalgybos tarnybos iš Kanados, Vokietijos, Italijos, Lenkijos, Ukrainos ir kitų valstybių. Tyrėjai teigia, kad užpuolikai naudodavo maršrutizatorius kaip tarpinį tašką, leidžiantį nepastebimai stebėti duomenų srautus ir rinkti prisijungimo informaciją.
Ukrainos saugumo tarnyba SBU tvirtina, kad įsilaužėliai rinko slaptažodžius, autentifikavimo žetonus ir kitus jautrius duomenis, įskaitant elektroninius laiškus. Pasak SBU, ši informacija vėliau galėjo būti panaudota tikslingoms kibernetinėms atakoms, žvalgybai ir informaciniam sabotažui.
„Rusai stengėsi apimti kuo daugiau pažeidžiamų maršrutizatorių ir nukreipdavo užklausas tik į jiems įdomius domenus, pavyzdžiui, valstybinių institucijų Ukrainoje ar su „Microsoft Outlook“ susijusius adresus“, – sakė vienas operacijoje dalyvavęs teisėsaugos pareigūnas.
Pasak Ukrainos SBU, ypatingas dėmesys buvo skirtas valstybinių institucijų darbuotojų, Ukrainos gynybos pajėgų padalinių ir gynybos pramonės įmonių tarpusavio komunikacijai. Tai atitinka įprastą šios grupės profilį, kai prioritetas teikiamas karinei ir politinei žvalgybai.
Kas yra Fancy Bear ir kaip veikia schema
Vakarų institucijos kampaniją susiejo su Fancy Bear, dar žinoma kaip APT28 ir Forest Blizzard. Ši grupė anksčiau ne kartą buvo įvardyta kaip siejama su Rusijos karine žvalgyba GRU, o jos veikla dažnai nukreipta į gynybos, diplomatinio ir saugumo sektoriaus taikinius.
Pagal viešai paskelbtą informaciją, pažeidžiamumais maršrutizatoriuose buvo naudojamasi mažiausiai nuo 2024 metų, įskaitant plačiai paplitusius modelius, tokius kaip „TP-Link“. Užvaldę maršrutizatorių, užpuolikai galėjo stebėti įrenginių, pavyzdžiui, nešiojamųjų kompiuterių ar telefonų, duomenų apsikeitimą, taip pat bandyti apeiti dalį apsaugos mechanizmų.
Ekspertai pabrėžia, kad maršrutizatoriai yra patrauklus taikinys, nes jie dažnai dirba be pertraukų, ilgai negauna atnaujinimų, o numatytieji slaptažodžiai arba pasenusi programinė įranga sukuria spragas. Tokia prieiga suteikia galimybę ne tik stebėti srautą, bet ir palengvinti tolimesnį įsibrovimą į vidinius tinklus.
Ką tai reiškia organizacijoms ir žmonėms
Šis atvejis rodo, kad kibernetinės atakos vis dažniau remiasi ne vien el. laiškais ar darbuotojų apgavystėmis, bet ir infrastruktūros lygmens pažeidimais. Net ir turint šifravimą bei modernias paskyrų apsaugas, silpniausia grandis gali būti tinklo įranga, kurios konfigūracija ir atnaujinimai paliekami nuošalyje.
Saugumo tarnybos savo rekomendacijose paprastai akcentuoja maršrutizatorių programinės įrangos atnaujinimą, administratoriaus slaptažodžių keitimą, nuotolinio valdymo išjungimą, žurnalų peržiūrą ir prieigos ribojimą. Didelėms organizacijoms taip pat svarbi segmentacija, centralizuotas įrangos valdymas ir nuolatinė stebėsena, kad kompromitacijos būtų aptinkamos anksti.
Vakarų institucijų vertinimu, tokio tipo kampanijos yra ilgalaikės ir pritaikomos, todėl taikinių spektras gali plėstis priklausomai nuo geopolitinės situacijos. Dėl to tikimasi, kad artimiausiu metu bus skelbiama daugiau techninių indikatorių ir papildomų rekomendacijų, kaip aptikti ir užkardyti panašius bandymus.
Šaltiniai:
– https://media.defense.gov/2026/Apr/07/2003907743/-1/-1/0/I-260407-PSA.PDF
– https://t.me/SBUkr/17260
Leave a Reply