Служба безопасности Украины сообщила, что совместно с ФБР и правоохранительными огранами Евросоюза провела операцию по пресечению российской шпионской сети, которая действовала через взломанные Wi-Fi-роутеры. Как говорится в сообщении СБУ, обнаружены многочисленные случаи взлома роутеров, установленных в офисах и домах граждан Украины, а также США и ЕС. Утверждается, что за этими атаками стоит ГРУ.
Как следует из материалов расследования, российская спецслужба нацеливалась на роутеры, не соответствовавшие современным протоколам безопасности. Получив доступ к устройствам, хакеры перенаправляли их трафик через предварительно развернутую сеть DNS-серверов. В дальнейшем устройства использовались для сбора паролей, токенов аутентификации и другой чувствительной информации, включая электронные письма. В ходе операции удалось заблокировать более 100 серверов и вывести из-под контроля российской спецслужбы сотни маршрутизаторов на одной только территории Украины.
«Полученные сведения враг планировал использовать для кибератак, информационных диверсий и сбора разведывательной информации. В зоне особого внимания российской спецслужбы находилась информация, которой обмениваются сотрудники и военнослужащие государственных органов, подразделений Сил обороны Украины, предприятий оборонно-промышленного комплекса», — говорится в сообщении СБУ.
В заявлении ФБР говорится, что сотрудники 85-го Главного центра специальной службы Минобороны (в/ч 26165), который называют хакерским отделом ГРУ, как минимум с 2024 года собирают учетные данные и используют уязвимости маршрутизаторов по всему миру. ФБР отмечает, что этим занимается хакерская группа, известная под названиями APT28, Fancy Bear и Forest Blizzard.
В прошлом году Великобритания обвинила группировку APT28 в проведении масштабной кибероперации, целью которой было отслеживание поставок западной помощи Украине. Как говорилось в совместном отчете Национального центра кибербезопасности Великобритании, спецслужб США и ряда европейских стран, хакеры из ГРУ получили доступ более чем к 10 тысячам видеокамер, расположенных вблизи военных объектов, железнодорожных узлов и пограничных переходов.
В 2017 году The Insider удалось доказать, что в группировку APT28 входят сотрудники войсковой части 26165 ГРУ. Спустя год это подтвердил Минюст США, официально выдвинув обвинения группе хакеров. Наиболее известной операцией APT28 стал взлом серверов Демократической партии в 2016 году, совершенный, чтобы помочь Дональду Трампу победить Хиллари Клинтон на президентских выборах. Трамп не скрывал, что использует данные, полученные при взломе, в своих политических целях.
APT28 совершала кибератаки, направленные против Белого дома и других целей в США, а также против МИД Чехии, Польши, Германии, Италии, Латвии, Эстонии, Украины, Норвегии, Нидерландов и других стран, Минобороны Дании, Италии и Германии, Бундестага, НАТО, ОБСЕ, МОК, WADA, следственной группы по делу о сбитом Боинге MH17, ряда редакций иностранных СМИ (в том числе TV5Monde и «Аль-Джазира»). Эти же хакеры атаковали десятки российских оппозиционеров, членов НКО и журналистов, в том числе и сотрудников The Insider, что независимо друг от друг подтвердили четыре компании, работающие в области информационной безопасности.
