En international myndighedsoperation har forstyrret et cyberspionagenætværk med forbindelser til Ruslands militære efterretningstjeneste. Operationen blev ledet af det amerikanske FBI og gennemført i samarbejde med det finske Skyddspolisen (Finlands Sikkerhedspoliti) og Cybersikkerhedscentret under myndigheden Traficom. Det oplyser det finske Sikkerhedspoliti i en pressemeddelelse.
Operationen rettede sig mod et globalt netværk af kaprede internetforbundne enheder, primært hjemroutere, som angiveligt er blevet anvendt i spionagevirksomhed. Ifølge myndighederne har en cyberaktør med forbindelser til den russiske militære efterretningstjeneste GRU (Glavnoje Razvedyvatelnoje Upravlenije) udnyttet dårligt beskyttede routere til at indsamle oplysninger og skjule sin trafik.
Visse routere fra producenten TP-Link skal have været særligt sårbare. Via en kendt sikkerhedsbrist har angribere kunnet få adgang til gemte loginoplysninger og derefter overtage kontrollen over enhederne.
– En GRU-tilknyttet cybertrusselaktør, der også er kendt under navnene APT28, Fancy Bear og Forest Blizzard, har i de seneste år særligt udnyttet dårligt beskyttede hjemroutere som en del af sin globale cyberspionageinfrastruktur. Denne sårbarhed gør det muligt for angriberen at afsløre gemte loginoplysninger via en informationsforespørgsel og udnytte dem ved at kapre enheden til angriberens brug, skriver Sikkerhedspolitiet i pressemeddelelsen.
Når en router først er kapret, kan den anvendes til at omdirigere internettrafik og gennemføre såkaldte man-in-the-middle-angreb. På den måde kan angribere i visse tilfælde aflytte eller manipulere datatrafik. Enhederne kan også anvendes som mellemled i større cyberoperationer, hvilket gør virksomheden vanskeligere at opdage og spore.
Ifølge myndighederne har virksomheden blandt andet rettet sig mod oplysninger knyttet til militær aktivitet, statsforvaltning og kritisk infrastruktur.
Sikkerhedspolitiet og Cybersikkerhedscentret oplyser, at de identificerede sårbare routere i Finland, informerede deres ejere og traf foranstaltninger for at forhindre fortsat adgang. Samtidig understreger myndighederne, at truslen fra russisk efterretnings- og cybervirksomhed er langsigtet.
– Under den fælles operation informerede myndighederne ejerne af de sårbare routere, rensede de enheder, som GRU havde mulighed for at trænge ind i, og forhindrede GRU i at få adgang til enhederne i samarbejde med deres ejere. De russiske efterretningstjenester udgør imidlertid en vedvarende og langvarig efterretnings- og cybertrussel mod Finland, og opløsningen af et enkelt enhedsnetværk fjerner ikke truslen, skriver Sikkerhedspolitiet i pressemeddelelsen.
Myndighederne opfordrer også privatpersoner til at forbedre sikkerheden i deres hjemmenetværk, eksempelvis ved at opdatere routere og anvende stærke adgangskoder. Dette kan reducere risikoen for, at udstyr udnyttes i cyberangreb eller spionage.

