Un'operazione internazionale condotta da autorità governative ha smantellato una rete di spionaggio informatico collegata al servizio di intelligence militare russo. L'operazione è stata guidata dall'FBI statunitense e condotta in collaborazione con la Polizia di Sicurezza finlandese (SUPO) e il Centro per la Sicurezza Informatica dell'agenzia Traficom (Agenzia finlandese dei trasporti e delle comunicazioni). Lo ha comunicato la Polizia di Sicurezza finlandese in un comunicato stampa.

L'operazione era diretta contro una rete globale di dispositivi connessi a Internet compromessi, principalmente router domestici, che sarebbero stati utilizzati per attività di spionaggio. Secondo le autorità, un attore informatico collegato al servizio di intelligence militare russo GRU (Direzione Principale dell'Intelligence delle Forze Armate russe) avrebbe sfruttato router scarsamente protetti per raccogliere informazioni e occultare il proprio traffico.

Particolarmente vulnerabili sarebbero risultati alcuni router del produttore TP-Link. Attraverso una vulnerabilità di sicurezza nota, gli aggressori avrebbero potuto accedere alle credenziali di accesso memorizzate e successivamente prendere il controllo dei dispositivi.

– Un attore di minacce informatiche collegato al GRU, noto anche con i nomi APT28, Fancy Bear e Forest Blizzard, ha negli ultimi anni sfruttato in modo particolare router domestici scarsamente protetti come parte della propria infrastruttura globale di spionaggio informatico. Questa vulnerabilità consente all'aggressore di estrarre le credenziali di accesso memorizzate tramite una richiesta di informazioni e di sfruttarle compromettendo il dispositivo per i propri scopi, scrive la Polizia di Sicurezza nel comunicato stampa.

Una volta compromesso, un router può essere utilizzato per reindirizzare il traffico Internet e condurre i cosiddetti attacchi man-in-the-middle. In questo modo, gli aggressori possono in certi casi intercettare o manipolare il traffico dati. I dispositivi possono inoltre essere impiegati come nodi intermedi in operazioni informatiche più ampie, rendendo le attività più difficili da individuare e tracciare.

Secondo le autorità, le attività erano dirette, tra l'altro, contro informazioni legate a operazioni militari, amministrazione statale e infrastrutture critiche.

La Polizia di Sicurezza finlandese e il Centro per la Sicurezza Informatica riferiscono di aver identificato i router a rischio in Finlandia, di aver informato i rispettivi proprietari e di aver adottato misure per impedire ulteriori accessi non autorizzati. Le autorità sottolineano al contempo che la minaccia rappresentata dall'intelligence e dalle attività informatiche russe è di natura duratura.

– Nel corso dell'operazione congiunta, le autorità hanno informato i proprietari dei router a rischio, ripulito i dispositivi a cui il GRU era in grado di accedere e impedito al GRU di accedere ai dispositivi in collaborazione con i loro proprietari. I servizi di intelligence russi rappresentano tuttavia una minaccia di intelligence e informatica continua e di lungo periodo nei confronti della Finlandia, e lo smantellamento di una singola rete di dispositivi non elimina la minaccia, scrive la Polizia di Sicurezza nel comunicato stampa.

Le autorità invitano inoltre i privati cittadini a migliorare la sicurezza delle proprie reti domestiche, ad esempio aggiornando i router e utilizzando password complesse. Ciò può ridurre il rischio che i dispositivi vengano sfruttati in attacchi informatici o operazioni di spionaggio.