Este descris modul în care grupul a transformat routere din mediul domestic și din birourile mici (SOHO) în platforme de supraveghere la nivel de stat.
De ce este important Deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când Microsoft observă deturnarea DNS utilizată la scară largă pentru a susține direct atacurile de tip adversar-în-mijloc (AiTM) împotriva conexiunilor TLS.
Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard.
De asemenea interesant Deși nu s-a observat nicio compromitere a activelor deținute de Microsoft, cercetătorii consideră că operațiunea reprezintă o escaladare semnificativă a modului în care actorii statali transformă dispozitivele periferice neadministrate în arme și ar putea permite interceptarea activă la scară mai largă în viitor.
Cel puțin din august 2025, Forest Blizzard exploatează dispozitive de internet SOHO vulnerabile pentru a deturna traficul DNS, permițând colectarea pasivă a datelor de rețea, în timp ce ascunde operațiunile ulterioare în spatele unei infrastructuri legitime.
Această abordare îi permite să obțină vizibilitate în medii mai mari și mai bine protejate, fără a încălca direct rețelele corporative
Modul de acțiune este descris detaliat AICI
Recent, președintele Nicușor Dan a anunțat că FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale.
"Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali", a spus șeful statului.
Departamentul american al justiției consemnează că ”Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”.
„Utilizarea abuzivă de către GRU a rețelelor din locuințele și companiile americane pentru operațiuni cibernetice malițioase rămâne o amenințare gravă și persistentă”, a declarat procurorul general adjunct pentru securitate națională, John A. Eisenberg. „Divizia de Securitate Națională va continua să folosească toate instrumentele disponibile pentru a detecta astfel de intruziuni și pentru a elimina actorii străini ostili din rețelele noastre”, a completat el.
„Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”, a declarat procurorul federal pentru Districtul de Est al Pennsylvaniei, David Metcalf.
„În fața agresiunii continue din partea adversarilor statali, guvernul SUA va răspunde la fel de ferm. Lucrând împreună cu FBI - și cu partenerii noștri din întreaga lume - suntem hotărâți să perturbăm și să expunem astfel de amenințări la adresa securității cibernetice a națiunii”, a spus el.
„Operațiunea Masquerade demonstrează angajamentul FBI de a identifica, expune și contracara eforturile guvernului rus de a compromite dispozitive americane, de a fura informații sensibile și de a viza infrastructuri critice”, a declarat directorul adjunct Brett Leatherman, din cadrul Diviziei Cibernetice a FBI.
”FBI și următorii parteneri emit acest anunț pentru a avertiza publicul și pentru a încuraja pe cei care asigură protecția rețelelor și proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităților și reducerea zonei de atac a unor dispozitive similare de tip edge: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina”, a precizat FBI.
CUM ACȚIONAU
Cel puțin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuți și sub denumirile APT28, Fancy Bear și Forest Blizzard – au colectat credențiale și au exploatat routere vulnerabile la nivel global, inclusiv compromițând routere TP-Link folosind vulnerabilitatea CVE-2023-50224, precizează FBI.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web, care sunt în mod normal protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security).
”GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, după care a filtrat utilizatorii afectați, vizând în special informații legate de domeniul militar, guvernamental și infrastructurile critice”, indică FBI.
