En internationell myndighetsoperation har stört ett cyberspionagenätverk kopplat till Rysslands militära underrättelsetjänst. Insatsen leddes av amerikanska FBI och genomfördes i samarbete med finska Skyddspolisen och Cybersäkerhetscentret vid myndigheten Traficom. Detta meddelar finska Skyddspolisen i ett pressmeddelande.

Operationen riktade sig mot ett globalt nätverk av kapade internetanslutna enheter, främst hemroutrar, som ska ha använts i spionageverksamhet. Enligt myndigheterna har en cyberaktör med koppling till den ryska underrättelsetjänsten GRU utnyttjat dåligt skyddade routrar för att samla in information och dölja sin trafik.

Särskilt sårbara ska vissa routrar från tillverkaren TP-Link ha varit. Genom en känd säkerhetsbrist har angripare kunnat få tillgång till sparade inloggningsuppgifter och därefter ta kontroll över enheterna.

– En GRU-anknuten cyberhotaktör som också är känd med namnen APT28, Fancy Bear och Forest Blizzard har under de senaste åren speciellt utnyttjat dåligt skyddade hemroutrar som en del av sin globala cyberspionageinfrastruktur. Denna sårbarhet gör det möjligt för attackeraren att avslöja lagrade inloggningsuppgifter med en informationsförfrågan och utnyttja dem genom att kapa enheten för attackerarens bruk, skriver Skyddspolisen i pressmeddelandet.

När en router väl kapats har den kunnat användas för att omdirigera internettrafik och genomföra så kallade mellanhandsattacker. På så sätt kan angripare i vissa fall avlyssna eller manipulera datatrafik. Enheterna kan också användas som mellanled i större cyberoperationer, vilket gör verksamheten svårare att upptäcka och spåra.

Enligt myndigheterna har verksamheten bland annat riktats mot uppgifter kopplade till militär verksamhet, statsförvaltning och kritisk infrastruktur.

Skyddspolisen och Cybersäkerhetscentret uppger att de identifierade riskutsatta routrar i Finland, informerade deras ägare och vidtog åtgärder för att förhindra fortsatt åtkomst. Samtidigt betonar myndigheterna att hotet från rysk underrättelse- och cyberverksamhet är långsiktigt.

– Under den gemensamma operationen informerade myndigheterna ägarna till riskroutrarna, rensade de enheter som GRU hade förmåga att ta sig in i och hindrade GRU från att få tillgång till enheterna i samarbete med deras ägare. De ryska underrättelsetjänsterna utgör dock ett kontinuerligt och långvarigt underrättelse- och cyberhot mot Finland, och upplösningen av ett enda enhetsnätverk undanröjer inte hotet, skriver Skyddspolisen i pressmeddelandet.

Myndigheterna uppmanar också privatpersoner att förbättra säkerheten i sina hemnätverk, exempelvis genom att uppdatera routrar och använda starka lösenord. Detta kan minska risken för att utrustning utnyttjas i cyberattacker eller spionage.