Kotireititin. DF Photo.
Suomen turvallisuus- ja tiedustelupalvelu (SUPO) sekä Traficomin kansallinen kyberturvallisuuskeskus (NCSC-FI) varoittivat Suomessa ihmisiä Venäjän käytännöstä hyödyntää heikosti suojattuja kotireitittimiä ja muita verkkolaitteita kybervakoilussa, kertoi SUPO tiedotteessaan keskiviikkona.
Kansainvälinen viranomaisten yhteistoiminta on onnistuneesti keskeyttänyt Venäjän sotilastiedustelupalvelu GRU:n kybervakoilutoimintaa estämällä globaaliin kybervakoilun verkostoon kuuluvien kompromettoitujen verkkolaitteiden käytön.
Suomesta SUPO ja NCSC-FI osallistuivat Yhdysvaltojen liittovaltion tutkintatoimiston (FBI) johtamaan operaatioon.
GRU:hun liitetty kyberuhka, joka tunnetaan myös nimillä APT28, Fancy Bear ja Forest Blizzard, on viime vuosina käyttänyt laajasti heikosti suojattuja kotireitittimiä osana globaalia kybervakoiluinfrastruktuuriaan.
Kansainvälinen yhteisoperaatio kohdistui GRU:n kompromettoimiin TP-Link-reitittimiin, joita ei ollut päivitetty CVE-2023-50224-haavoittuvuuden osalta.
Tämä haavoittuvuus mahdollistaa hyökkääjän lähettää laitteen kautta pyynnön, joka paljastaa laitteeseen tallennetut salasanat tai avaimet, mikä antaa hyökkääjälle mahdollisuuden ottaa laite hallintaansa.
GRU on käyttänyt kompromettoituja verkkolaitteita vakoillakseen laitteiden käyttäjiä muokkaamalla laitteiden verkkotunnusjärjestelmän (DNS) asetuksia. Tämä on mahdollistanut keskiössä olevan hyökkäyksen ja salatun verkkoliikenteen purkamisen.
Kompromettoituja verkkolaitteita on myös käytetty osana operatiivista turvallisuusinfrastruktuuria (OPSEC), joka sekä naamioi kybervakoiluliikenteen tavalliseksi verkkoliikenteeksi että vaikeuttaa tekijän havaitsemista, tunnistamista ja jäljittämistä.
GRU:n kiinnostuksen kohteina ovat olleet salassa pidettävät tiedot, jotka liittyvät sotilaallisiin toimintoihin, keskushallintoon ja kriittiseen infrastruktuuriin.
Suomessa SUPO ja NCSC-FI työskentelivät yhdessä kyberuhkien torjumiseksi, jotka kohdistuivat Suomeen ja toteutettiin Suomen kautta.
Yhteisoperaation aikana viranomaiset tiedottivat riskialttiiden reitittimien omistajille, puhdistivat laitteita, joihin GRU:lla oli mahdollisuus päästä käsiksi, ja estivät GRU:n pääsyn laitteisiin yhteistyössä omistajien kanssa.
Kuitenkin Venäjän tiedustelupalvelut muodostavat jatkuvan ja pitkäaikaisen tiedustelu- ja kyberuhkan Suomelle, eikä yhden kompromettoituneen laitteen verkoston poistaminen poista uhkaa.
Viranomaiset varoittivat, että Venäjä käyttää heikosti suojattuja internet-yhteydessä olevia verkkolaitteita maailmanlaajuisesti tiedustelun keräämiseen. Varoituksen tarkoituksena on kannustaa laiteomistajia ja kyberturvallisuusasiantuntijoita vähentämään mahdollisuuksia verkkovakoilulle omilla toimillaan.
Heikosti suojattu reititin voi ilman omistajan tietämystä mahdollistaa kybervakoilun tai muuta haitallista toimintaa.
Suomessa ihmisiä kehotettiin parantamaan verkkoturvallisuutta huolehtimalla omista verkkolaitteistaan.
Viranomaiset ehdottivat myös, että laitteet, sovellukset ja ohjelmistot tulisi pitää ajan tasalla ja päivitykset tulisi asentaa säännöllisesti.
