Міністерство юстиції протидіє атаці російського військового розвідувального підрозділу на об'єкти США

Міністерство юстиції протидіє атаці російського військового розвідувального підрозділу на об'єкти США

Автор: Кімберлі Хейєк через The Epoch Times (наголос наш),

Міністерство юстиції та ФБР у вівторок оголосили, що провели санкціоновану судом технічну операцію з нейтралізації частини мережі невеликих офісних та домашніх роутерів у Сполучених Штатах, які були захоплені підрозділом російської військової розвідки.
Міністерство юстиції у Вашингтоні, 11 березня 2026 року. Madalina Kilroy/The Epoch Times

Російський військовий підрозділ 26165 — також відомий як APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear та Sednit — є частиною Головного розвідувального управління Генерального штабу Росії та скомпрометував роутери для здійснення зловмисних операцій з викрадення доменних імен (DNS) по всьому світу.

Вони націлювалися на окремих військовослужбовців США, уряд США та критичну інфраструктуру, за допомогою яких російський уряд сподівався отримати розвіддані.

Прокурор США Девід Метькальф від Східного округу Пенсільванії заявив, що були викрадені критично важливі дані.

«Перед обличчям тривалої агресії з боку наших супротивників — державних суб'єктів — уряд США буде реагувати так само агресивно», — сказав Метькальф. «Працюючи з ФБР та нашими партнерами по всьому світу, ми прагнемо нейтралізувати та викривати такі загрози для кібербезпеки нашої нації».

Помічник директора кібервідділу ФБР Бретт Літерман заявив, що американські та світові роутери були скомпрометовані, і що ФБР продовжуватиме використовувати свої повноваження для виявлення та притягнення до відповідальності державних акторів, які націлюються на американський народ.

«З огляду на масштаби цієї загрози, просто підняти тривогу було недостатньо», — сказав Літерман. «ФБР провело санкціоновану судом операцію для зміцнення скомпрометованих роутерів по всьому Сполученим Штатам».

Операція ФБР під назвою «Operation Masquerade» є найновішою дією США, спрямованою на підрив безперервних російських державних кіберзагроз, які використовують повсякденні споживчі пристрої.

З 2024 року актори ГРУ атакували відомі вразливості в роутерах TP-Link по всьому світу для крадіжки облікових даних адміністратора. Потім вони отримали несанкціонований доступ до пристроїв та змінили їх налаштування для перенаправлення DNS-запитів на зловмисні резольвери, контрольовані ГРУ.

Актори налаштували автоматизовані фільтри для виявлення високоцінного трафіку перед його перехопленням. Зловмисні резольвери повертали шахрайські DNS-записи, які виглядали як легітимні сервіси, включаючи Microsoft Outlook Web Access.

Це дозволило здійснювати атаки «людина посередині» на те, що жертви вважали зашифрованим мережевим трафіком. ГРУ змогло викрасти незашифровані паролі, токени автентифікації, електронні листи та інші конфіденційні дані з пристроїв у локальній мережі скомпрометованого роутера.

Операція включала технічний внесок від Black Lotus Labs at Lumen, Microsoft Threat Intelligence та MIT Lincoln Laboratory.

«Operation Masquerade керувалася бостонським відділенням ФБР. Це останній приклад того, як ми захищаємо нашу батьківщину від російського ГРУ, яке використовувало роутери, що належать неуважним американцям у понад 23 штатах, для крадіжки конфіденційної державної, військової та критичної інфраструктурної інформації», — заявив спеціальний агент, відповідальний за бостонське відділення ФБР, Тед Е. Докс.

Він зазначив, що ФБР використовувало передові технології та залучало приватний сектор та міжнародних партнерів для боротьби зі зловмисною діяльністю та відновлення роутерів.

Судові документи у справі, подані до Східного округу Пенсільванії, описують, як ФБР розробило та протестувало команди, надіслані лише на уражені роутери в Сполучених Штатах.

Команди виявили докази схем ГРУ, скинули налаштування DNS пристроїв на легітимні резольвери інтернет-провайдерів та закрили початкові точки несанкціонованого доступу. Прошивка та апаратні налаштування роутерів TP-Link підтвердили, що операція не перерве нормальне функціонування роутера та не збиратиме особисті дані користувачів.

Легітимні власники можуть змінити налаштування шляхом скидання до заводських налаштувань за допомогою апаратної кнопки або шляхом ручного відновлення налаштувань через веб-інтерфейс роутера.

ФБР також співпрацювало з інтернет-провайдерами для інформування постраждалих користувачів.

Власникам роутерів для малих офісів та домашніх офісів рекомендується замінити пристрої, термін служби яких закінчився або підтримка яких припинилася, оновити до найновішої прошивки, перевірити, що DNS-резольвери відповідають тим, що надаються інтернет-провайдером, та переглянути правила брандмауера, щоб запобігти непотрібному віддаленому доступу для керування.

Підрозділ 26165 ГРУ був об'єктом спільного інформаційного повідомлення від травня 2025 року від Агентства з кібербезпеки та безпеки інфраструктури, а також міжнародних партнерів, яке описувало, як підрозділ атакував західні логістичні та технологічні компанії, що постачають допомогу Україні. Кампанія, що датується 2022 роком, вплинула на організації в 13 країнах, включаючи Сполучені Штати, Німеччину та Францію.

У квітні 2025 року французькі чиновники заявили, що серія хакерських атак з 2021 року була справою того ж підрозділу ГРУ.

«Російська військова розвідка (ГРУ) протягом кількох років розгортає кібернаступальний modus operandi під назвою APT28 проти Франції. З 2021 року вона націлилася приблизно на 10 французьких організацій», — написав Жан-Ноель Барро, міністр закордонних справ Франції, у соціальній мережі X.

У лютому 2024 року Міністерство юстиції демонтувало керовану ГРУ ботнет, яка атакувала сотні малих або домашніх офісних роутерів по всьому світу за допомогою шкідливого програмного забезпечення. ФБР використовувало те саме шкідливе програмне забезпечення для копіювання та видалення викрадених даних, одночасно змінюючи правила брандмауера для заборони віддаленого доступу для керування.

Tyler Durden
Середа, 08.04.2026 - 17:40