Una operación internacional de autoridades ha desarticulado una red de ciberespionaje vinculada al servicio de inteligencia militar de Rusia. La operación fue liderada por el FBI estadounidense y llevada a cabo en colaboración con la Policía de Seguridad de Finlandia (Supo) y el Centro de Ciberseguridad de la agencia Traficom. Así lo ha comunicado la Policía de Seguridad de Finlandia en un comunicado de prensa.
La operación se dirigió contra una red global de dispositivos conectados a internet que habían sido secuestrados, principalmente routers domésticos, los cuales habrían sido utilizados en actividades de espionaje. Según las autoridades, un ciberactor vinculado al servicio de inteligencia militar ruso GRU (Dirección General de Inteligencia) habría explotado routers con protección deficiente para recopilar información y ocultar su tráfico.
Determinados routers del fabricante TP-Link habrían sido especialmente vulnerables. A través de una vulnerabilidad de seguridad conocida, los atacantes habrían podido acceder a las credenciales de inicio de sesión almacenadas y, posteriormente, tomar el control de los dispositivos.
– Un actor de amenazas cibernéticas vinculado al GRU, conocido también con los nombres APT28, Fancy Bear y Forest Blizzard, ha explotado en los últimos años especialmente routers domésticos con protección deficiente como parte de su infraestructura global de ciberespionaje. Esta vulnerabilidad permite al atacante revelar las credenciales de inicio de sesión almacenadas mediante una solicitud de información y explotarlas secuestrando el dispositivo para uso del atacante, escribe la Policía de Seguridad en el comunicado de prensa.
Una vez secuestrado un router, éste podría ser utilizado para redirigir el tráfico de internet y llevar a cabo los denominados ataques de intermediario. De este modo, los atacantes pueden en ciertos casos interceptar o manipular el tráfico de datos. Los dispositivos también pueden emplearse como eslabones intermedios en operaciones cibernéticas de mayor envergadura, lo que dificulta la detección y el rastreo de la actividad.
Según las autoridades, la actividad se habría dirigido, entre otros objetivos, contra información vinculada a actividades militares, administración pública e infraestructuras críticas.
La Policía de Seguridad de Finlandia y el Centro de Ciberseguridad señalan que identificaron routers en situación de riesgo en Finlandia, informaron a sus propietarios y adoptaron medidas para impedir el acceso continuado. Al mismo tiempo, las autoridades subrayan que la amenaza procedente de las actividades de inteligencia y ciberoperaciones rusas es de carácter duradero.
– Durante la operación conjunta, las autoridades informaron a los propietarios de los routers en situación de riesgo, limpiaron los dispositivos a los que el GRU tenía capacidad de acceder e impidieron que el GRU accediera a los dispositivos en colaboración con sus propietarios. Sin embargo, los servicios de inteligencia rusos constituyen una amenaza de inteligencia y cibernética continua y prolongada contra Finlandia, y la desarticulación de una única red de dispositivos no elimina la amenaza, escribe la Policía de Seguridad en el comunicado de prensa.
Las autoridades también instan a los particulares a mejorar la seguridad de sus redes domésticas, por ejemplo actualizando los routers y utilizando contraseñas seguras. Esto puede reducir el riesgo de que los equipos sean explotados en ciberataques o actividades de espionaje.

