FBI și partenerii săi internaționali au anunțat pe 7 aprilie că au perturbat o infrastructură cibernetică atribuită APT28, grup asociat serviciului militar de informații al Rusiei, GRU. Potrivit alertei publicate de IC3, atacatorii au compromis routere vulnerabile din întreaga lume și le-au folosit pentru operațiuni de deturnare DNS și de interceptare a traficului, cu scopul de a fura credențiale, emailuri și alte date sensibile din zone precum apărare, guvern și infrastructură critică.
Cazul este relevant tocmai pentru că nu vorbește despre un malware sofisticat instalat pe sisteme clasificate, ci despre echipamente banale, de tip SOHO, adică routere folosite în birouri mici sau acasă. Potrivit Reuters, operațiunea, numită Masquerade, s-a bazat pe compromiterea a mii de astfel de dispozitive la nivel global, pe care atacatorii le foloseau ca să redirecționeze trafic și să colecteze informații necriptate, parole și tokenuri de autentificare.
În România, cazul a intrat rapid și în dezbaterea publică, după ce Nicușor Dan a comentat anunțul privind operațiunea comună a partenerilor internaționali și a spus că episodul confirmă continuarea războiului hibrid dus de Rusia împotriva statelor occidentale. Reacția sa a fost relatată de presa locală în contextul anunțului FBI și al participării SRI la operațiune.
România apare în acest dosar și prin participarea instituțională a SRI. Serviciul a transmis oficial că, prin Centrul Național Cyberint, a contribuit alături de partenerii internaționali la stoparea unor atacuri cibernetice atribuite GRU și la destructurarea infrastructurii folosite de APT28, construită pe routere compromise. Potrivit SRI, operațiunea a limitat semnificativ capacitatea actorului de a continua atacuri viitoare folosind aceeași infrastructură.
De fapt, acesta este și mesajul util al cazului. În securitatea cibernetică, vulnerabilitatea nu stă doar în marile sisteme sau în centrele de date, ci și în periferia lor: echipamente mici, ieftine, instalate și apoi uitate ani întregi. Avertismentul IC3 și comunicatul Departamentului de Justiție al SUA arată că exact aceste dispozitive au fost transformate într-o rețea de supraveghere și redirecționare a traficului, cu ținte din mai multe regiuni și sectoare sensibile.
Pentru instituțiile și organizațiile din România, implicația este simplă și deloc spectaculoasă: actualizarea firmware-ului, schimbarea parolelor implicite, dezactivarea administrării de la distanță atunci când nu este necesară și înlocuirea echipamentelor ieșite din suport rămân măsuri de bază, dar esențiale. SRI a reiterat exact aceste recomandări în comunicatul său despre operațiunea Masquerade.
Pe scurt, povestea nu este doar despre Rusia, GRU sau încă o operațiune atribuită APT28. Este și despre cât de ușor pot deveni infrastructură de spionaj niște dispozitive pe care aproape nimeni nu le consideră critice. Într-o rețea suficient de mare, mii de routere neglijate pot ajunge să conteze mai mult decât pare.