Bộ Tư pháp Phản ứng Trước Cuộc Tấn công của Đơn vị Tình báo Quân đội Nga vào Mục tiêu Hoa Kỳ

Bộ Tư pháp Phản ứng Trước Cuộc Tấn công của Đơn vị Tình báo Quân đội Nga vào Mục tiêu Hoa Kỳ

Được viết bởi Kimberly Hayek qua The Epoch Times (nhấn mạnh của chúng tôi),

Bộ Tư pháp và FBI hôm thứ Ba đã tiết lộ rằng họ đã tiến hành một hoạt động kỹ thuật được tòa án phê duyệt để vô hiệu hóa một phần mạng lưới các bộ định tuyến văn phòng nhỏ và văn phòng tại nhà ở Hoa Kỳ đã bị chiếm dụng bởi một đơn vị tình báo quân đội Nga.
Bộ Tư pháp tại Washington vào ngày 11 tháng 3 năm 2026. Madalina Kilroy/The Epoch Times

Đơn vị Quân đội Nga 26165—còn được gọi là APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear và Sednit—là một phần của Tổng cục Tình báo Chính của Bộ Tổng tham mưu Nga và đã xâm phạm các bộ định tuyến để thực hiện các hoạt động chiếm quyền điều khiển Hệ thống Tên miền (DNS) độc hại trên toàn cầu.

Họ nhắm mục tiêu vào các thành viên quân đội Hoa Kỳ cá nhân, chính phủ Hoa Kỳ và cơ sở hạ tầng quan trọng mà chính phủ Nga kỳ vọng sẽ thu thập được thông tin tình báo.

Luật sư Hoa Kỳ David Metcalf cho Khu vực Miền Đông Pennsylvania cho biết dữ liệu quan trọng đã bị chiếm đoạt.

“Đối mặt với sự gây hấn liên tục của các đối thủ quốc gia chúng ta, chính phủ Hoa Kỳ sẽ phản ứng mạnh mẽ không kém,” Metcalf nói. “Làm việc với FBI—và các đối tác của chúng tôi trên toàn thế giới—chúng tôi cam kết làm gián đoạn và vạch trần những mối đe dọa như vậy đối với an ninh mạng quốc gia của chúng ta.”

Trợ lý Giám đốc Brett Leatherman của Bộ phận An ninh mạng FBI cho biết các bộ định tuyến của Hoa Kỳ và toàn cầu đã bị xâm phạm và FBI sẽ tiếp tục sử dụng thẩm quyền của mình để xác định và áp đặt chi phí đối với các tác nhân do nhà nước bảo trợ nhắm mục tiêu vào người dân Mỹ.

“Với quy mô của mối đe dọa này, việc báo động là chưa đủ,” Leathernan nói. “FBI đã tiến hành một hoạt động được tòa án ủy quyền để củng cố các bộ định tuyến bị xâm phạm trên khắp Hoa Kỳ.”

Hoạt động của FBI, có tên là Chiến dịch Masquerade, là hành động mới nhất của Hoa Kỳ nhằm làm suy yếu các mối đe dọa mạng liên tục do nhà nước Nga bảo trợ, khai thác các thiết bị tiêu dùng hàng ngày.

Kể từ năm 2024, các tác nhân GRU đã tấn công các lỗ hổng đã biết trong các bộ định tuyến TP-Link trên toàn thế giới để đánh cắp thông tin đăng nhập quản trị. Sau đó, chúng đã truy cập trái phép vào các thiết bị và thay đổi cài đặt của chúng để chuyển hướng các truy vấn DNS đến các trình phân giải độc hại do GRU kiểm soát.

Các tác nhân đã thiết lập các bộ lọc tự động để xác định lưu lượng truy cập có giá trị cao trước khi chặn nó. Các trình phân giải độc hại trả về các bản ghi DNS giả mạo trông giống như các dịch vụ hợp pháp, bao gồm cả Microsoft Outlook Web Access.

Điều này cho phép các cuộc tấn công man-in-the-middle vào những gì nạn nhân nghĩ là lưu lượng mạng được mã hóa. GRU đã có thể thu thập mật khẩu không được mã hóa, token xác thực, email và các dữ liệu nhạy cảm khác từ các thiết bị trên mạng cục bộ của bộ định tuyến bị xâm phạm.

Hoạt động này bao gồm các đóng góp kỹ thuật từ Black Lotus Labs tại Lumen, Microsoft Threat Intelligence và MIT Lincoln Laboratory.

“Chiến dịch Masquerade do FBI Boston dẫn đầu. Nó đại diện cho ví dụ mới nhất về cách chúng tôi bảo vệ quê hương của mình khỏi GRU của Nga, kẻ đã vũ khí hóa các bộ định tuyến thuộc sở hữu của người Mỹ không nghi ngờ ở hơn 23 tiểu bang để đánh cắp thông tin nhạy cảm của chính phủ, quân đội và cơ sở hạ tầng quan trọng,” đặc vụ phụ trách Văn phòng Hiện trường Boston của FBI Ted E. Docks cho biết.

Ông lưu ý rằng FBI đã sử dụng công nghệ tiên tiến và tận dụng các đối tác khu vực tư nhân và quốc tế để chống lại hoạt động độc hại và khắc phục các bộ định tuyến.

Các tài liệu tòa án từ vụ án, được nộp tại Khu vực Miền Đông Pennsylvania, phác thảo cách FBI đã phát triển và thử nghiệm các lệnh chỉ được gửi đến các bộ định tuyến bị ảnh hưởng ở Hoa Kỳ.

Các lệnh này đã tiết lộ bằng chứng về các âm mưu của GRU, đặt lại cài đặt DNS của thiết bị về các trình phân giải hợp pháp của nhà cung cấp dịch vụ internet và đóng các điểm truy cập trái phép ban đầu. Phần mềm và cài đặt phần cứng của bộ định tuyến TP-Link đã xác nhận rằng hoạt động này sẽ không làm gián đoạn chức năng bộ định tuyến bình thường hoặc thu thập dữ liệu cá nhân của người dùng.

Chủ sở hữu hợp pháp có thể thay đổi cài đặt thông qua đặt lại về cài đặt gốc bằng nút phần cứng hoặc bằng cách khôi phục cài đặt thủ công thông qua giao diện web của bộ định tuyến.

FBI cũng đã làm việc với các nhà cung cấp dịch vụ internet để thông báo cho người dùng bị ảnh hưởng.

Chủ sở hữu các bộ định tuyến văn phòng nhỏ và văn phòng tại nhà được khuyên nên thay thế các thiết bị đã hết vòng đời hoặc hết hỗ trợ, nâng cấp lên phần mềm mới nhất, xác minh rằng các trình phân giải DNS giống như những trình do nhà cung cấp dịch vụ internet cung cấp và xem xét các quy tắc tường lửa để ngăn chặn truy cập quản lý từ xa không cần thiết.

Đơn vị 26165 của GRU là đối tượng của thông báo chung vào tháng 2025 năm 2022 từ Cơ quan An ninh Mạng và Cơ sở hạ tầng, cũng như các đối tác quốc tế, mô tả cách đơn vị này đã tấn công các công ty hậu cần và công nghệ phương Tây cung cấp viện trợ cho Ukraine. Chiến dịch, có từ năm 13, đã ảnh hưởng đến các tổ chức ở XNUMX quốc gia, bao gồm Hoa Kỳ, Đức và Pháp.

Vào tháng 2025 năm 2021, các quan chức Pháp cho biết một loạt các vụ hack kể từ năm XNUMX là do cùng một đơn vị GRU thực hiện.

“Dịch vụ tình báo quân đội Nga (GRU) đã triển khai một phương thức tấn công mạng có tên APT28 chống lại Pháp trong nhiều năm. Nó đã nhắm mục tiêu vào khoảng 10 thực thể của Pháp kể từ năm 2021,” Jean-Noël Barrot, Bộ trưởng Ngoại giao Pháp, đã viết trên nền tảng mạng xã hội X.

Trong một vụ gián đoạn vào tháng 2024 năm 2024, Bộ Tư pháp đã gỡ bỏ một mạng botnet do GRU kiểm soát, đã tấn công hàng trăm bộ định tuyến văn phòng nhỏ hoặc tại nhà trên toàn thế giới bằng phần mềm độc hại. FBI đã sử dụng cùng một phần mềm độc hại để sao chép và xóa dữ liệu bị đánh cắp đồng thời thay đổi các quy tắc tường lửa để cấm truy cập quản lý từ xa.

Tyler Durden
Wed, 04/08/2026 - 17:40