Finländska myndigheter stoppar rysk cyberspionageoperation via hemroutrar

Finländska säkerhetsmyndigheter har tillsammans med internationella partner lyckats störa en omfattande rysk cyberspionageoperation riktad mot global nätverksinfrastruktur. Enligt ett pressmeddelande från Skyddspolisenoch Cybersäkerhetscentret vid Traficom har operationen riktat in sig på ett nätverk av komprometterade enheter, däribland hemroutrar, som utnyttjats av den ryska militära underrättelsetjänsten GRU.

Insatsen genomfördes i samarbete med flera internationella aktörer och leddes av FBI. Målet var att stoppa användningen av ett globalt nätverk av kapade enheter som fungerat som infrastruktur för avancerat cyberspionage. Den hotaktör som kopplas till verksamheten är känd under flera namn, däribland APT28 och Fancy Bear, och har under flera år utnyttjat säkerhetsbrister i nätverksutrustning.

Särskilt fokus har legat på sårbarheter i routrar från tillverkaren TP-Link, där bristen identifierad som CVE-2023-50224 möjliggjort att angripare kunnat extrahera känslig information såsom lösenord och krypteringsnycklar. Genom att ta kontroll över enheterna har angriparna kunnat manipulera DNS-inställningar och därmed genomföra så kallade man-in-the-middle-attacker. Detta har i sin tur gjort det möjligt att avlyssna och dekryptera nätverkstrafik utan användarnas vetskap.

De komprometterade enheterna har inte bara använts för direkt informationsinhämtning utan även som skyddsinfrastruktur för att maskera angriparnas aktivitet. Genom att dirigera trafiken via legitima hushållsenheter har spårning och upptäckt av verksamheten försvårats avsevärt. Enligt myndigheterna har operationerna främst riktats mot känslig information kopplad till militär verksamhet, statsförvaltning och kritisk infrastruktur.

I Finland har myndigheterna aktivt identifierat och hanterat hot kopplade till dessa attacker. Ägare till utsatta routrar har informerats, och åtgärder har vidtagits för att rensa och säkra enheterna. Trots framgångarna betonar myndigheterna att hotet från ryska underrättelsetjänster är långsiktigt och kvarstår även efter denna insats.

Samtidigt uppmanas allmänheten att vidta grundläggande säkerhetsåtgärder. Att regelbundet uppdatera mjukvara, använda starka lösenord och säkerställa att utrustning stöds av tillverkaren lyfts fram som centrala skyddsåtgärder. Enligt Cybersäkerhetscentret kan även privatpersoners enheter annars utnyttjas som verktyg i avancerade cyberoperationer.

Sammanfattning

Finländska och internationella myndigheter har stoppat en rysk cyberspionageoperation som utnyttjat sårbara hemroutrar globalt. Attackerna, kopplade till GRU och APT28, har möjliggjort avancerad avlyssning genom DNS-manipulation. Trots framgången kvarstår hotbilden, och myndigheterna uppmanar allmänheten att stärka säkerheten i sina egna nätverk.

Källförteckning

Skyddspolisen – pressmeddelande om cyberspionage

Cybersäkerhetscentret – informationssäkerhet i hemnät

FBI – Russian GRU Exploiting Vulnerable Routers

NCSC UK – APT28 DNS hijacking operations

Traficom – cybersäkerhet och nätverksutrustning