En internasjonal myndighetsoperasjon har forstyrret et cyberspionasjenettverk knyttet til Russlands militære etterretningstjeneste. Operasjonen ble ledet av amerikanske FBI og gjennomført i samarbeid med finske Skyddspolisen (Finlands sikkerhetstjeneste, SUPO) og Cybersikkerhetssenteret ved myndigheten Traficom. Dette melder finske Skyddspolisen i en pressemelding.

Operasjonen rettet seg mot et globalt nettverk av kaprede internettilkoblede enheter, hovedsakelig hjemrutere, som skal ha blitt brukt i spionasjevirksomhet. Ifølge myndighetene har en cyberaktør med tilknytning til den russiske etterretningstjenesten GRU (Glavnoye Razvedyvatelnoye Upravleniye) utnyttet dårlig sikrede rutere for å samle inn informasjon og skjule sin trafikk.

Særlig sårbare skal visse rutere fra produsenten TP-Link ha vært. Gjennom en kjent sikkerhetsbrist har angripere kunnet få tilgang til lagrede innloggingsopplysninger og deretter ta kontroll over enhetene.

– En GRU-tilknyttet cybertrusselaktør som også er kjent under navnene APT28, Fancy Bear og Forest Blizzard har de siste årene spesielt utnyttet dårlig sikrede hjemrutere som en del av sin globale cyberspionasjeinfrastruktur. Denne sårbarheten gjør det mulig for angriperen å avdekke lagrede innloggingsopplysninger med en informasjonsforespørsel og utnytte dem ved å kapre enheten til angriperenss bruk, skriver Skyddspolisen i pressemeldingen.

Når en ruter først er kapret, har den kunnet brukes til å omdirigere internettrafikk og gjennomføre såkalte mellommannsangrep. På den måten kan angripere i visse tilfeller avlytte eller manipulere datatrafikk. Enhetene kan også brukes som mellomledd i større cyberoperasjoner, noe som gjør virksomheten vanskeligere å oppdage og spore.

Ifølge myndighetene har virksomheten blant annet rettet seg mot opplysninger knyttet til militær virksomhet, statsforvaltning og kritisk infrastruktur.

Skyddspolisen og Cybersikkerhetssenteret opplyser at de identifiserte risikoutsatte rutere i Finland, informerte eierne deres og iverksatte tiltak for å forhindre fortsatt tilgang. Samtidig understreker myndighetene at trusselen fra russisk etterretnings- og cybervirksomhet er langsiktig.

– Under den felles operasjonen informerte myndighetene eierne av risikoruterne, renset de enhetene som GRU hadde evne til å trenge inn i, og hindret GRU fra å få tilgang til enhetene i samarbeid med eierne. De russiske etterretningstjenestene utgjør imidlertid en kontinuerlig og langvarig etterretnings- og cybertrussel mot Finland, og oppløsningen av ett enkelt enhetsnett fjerner ikke trusselen, skriver Skyddspolisen i pressemeldingen.

Myndighetene oppfordrer også privatpersoner til å forbedre sikkerheten i sine hjemmenettverk, for eksempel ved å oppdatere rutere og bruke sterke passord. Dette kan redusere risikoen for at utstyr utnyttes i cyberangrep eller spionasje.