FBI i polski wywiad rozbiły rosyjską sieć szpiegowską APT28

FBI wraz z rumuńskim SRI oraz partnerami wywiadowczymi z 14 innych krajów rozbiły 8 kwietnia 2026 roku długofalową rosyjską sieć cyberszpiegostwa wojskowego w ramach działań pod kryptonimem „Operacja Masquerade”. Według oświadczeń Departamentu Sprawiedliwości USA i FBI, kampania była prowadzona przez Jednostkę GRU 26165, znaną również jako APT28, Fancy Bear, Forest Blizzard, Sofacy Group, Pawn Storm i Sednit. Grupa wykorzystywała podatne na ataki routery SOHO, a konkretnie urządzenia marki TP-Link, aby przechwytywać wrażliwe dane z celów wojskowych, rządowych i infrastruktury krytycznej w wielu państwach zachodnich. Prezydent Rumunii Nicușor Dan potwierdził udział SRI i określił operację jako kolejny dowód na trwającą wojnę hybrydową Rosji przeciwko Zachodowi. Międzynarodowa koalicja wydająca wspólne ostrzeżenie obejmowała partnerów z Kanady, Czech, Danii, Estonii, Finlandii, Niemiec, Włoch, Łotwy, Litwy, Norwegii, Polski, Portugalii, Rumunii, Słowacji i Ukrainy, a także amerykańską Narodową Agencję Bezpieczeństwa (NSA).

Hakerzy przekierowywali zaszyfrowany ruch przez przejęte routery Sprawcy powiązani z GRU wykorzystali konkretną podatność CVE-2023-50224 w routerach TP-Link, aby uzyskać do nich dostęp, a następnie zmienili ustawienia DHCP i DNS urządzeń, wprowadzając serwery DNS pod własną kontrolą. Po zainfekowaniu routera wszystkie podłączone urządzenia — w tym laptopy i telefony komórkowe — przejmowały zmodyfikowane ustawienia bez wiedzy użytkownika. Infrastruktura kontrolowana przez atakujących przechwytywała zapytania o wszystkie nazwy domen przechodzące przez urządzenie. Następnie GRU dostarczało fałszywe odpowiedzi DNS dla wybranych domen i usług, w tym Microsoft Outlook Web Access, co umożliwiało ataki typu adversary-in-the-middle na zaszyfrowany ruch. Metoda ta pozwoliła rosyjskim hakerom na gromadzenie haseł, tokenów uwierzytelniających, e-maili i danych przeglądania stron internetowych, które normalnie chronione są przez szyfrowanie SSL i TLS. SRI oświadczyło, że „GRU zhakowało szeroką gamę jednostek na całym świecie, w tym w Rumunii, i filtrowało ofiary, celując szczególnie w informacje z sektorów wojskowego, rządowego oraz infrastruktury krytycznej”. Według FBI operacja trwała co najmniej od 2024 roku.

Operacja Masquerade — Kluczowe wydarzenia: — ; — ; —

Prezydent Rumunii apeluje o wzmocnienie krajowego cyberbezpieczeństwa Prezydent Rumunii Nicușor Dan, który objął urząd w 2025 roku (wcześniej pełniąc funkcję burmistrza Bukaresztu), odniósł się do doniesień FBI w oświadczeniu opublikowanym w środę na swoim profilu w serwisie Facebook. Potwierdził, że SRI uczestniczyło w wielonarodowej operacji i przedstawił cyberatak jako część szerszego schematu rosyjskiej agresji wobec narodów zachodnich. „„Rosja kontynuuje wojnę hybrydową przeciwko krajom zachodnim i tylko ktoś w złej wierze może tego nie dostrzegać. Rumunia musi poprawić swoje cyberbezpieczeństwo i kontynuować współpracę z zachodnimi partnerami”.” — Nicușor Dan via G4Media W oświadczeniu prezydenta wskazano również, że rozbita sieć atakowała „wrażliwą infrastrukturę w kilku państwach zachodnich”, a GRU gromadziło „informacje wojskowe, rządowe i dotyczące infrastruktury krytycznej”. Według serwisu Digi24, udział SRI odbywał się za pośrednictwem Narodowego Centrum Cyberint. Wypowiedź Dana nastąpiła w czasie, gdy Rumunia pogłębia integrację z zachodnimi strukturami bezpieczeństwa, a operacja ta podkreśla aktywną rolę kraju w zbiorowych wysiłkach na rzecz cyberobrony w ramach struktur NATO.

Grupa APT28, znana również pod nazwą Fancy Bear, od lat jest łączona przez zachodnie służby wywiadowcze z 85. Głównym Centrum Służb Specjalnych GRU (Jednostka 26165). Ugrupowanie to powiązano z serią głośnych włamań wymierzonych w organizacje rządowe, wojskowe i polityczne w Europie i Ameryce Północnej. Przejmowanie zapytań DNS (DNS hijacking) jako technika pozwala atakującym na dyskretne przekierowywanie użytkowników do złośliwej infrastruktury bez wywoływania standardowych alertów bezpieczeństwa, co czyni ją szczególnie skuteczną przeciwko celom polegającym na komunikacji szyfrowanej.

Koalicja piętnastu państw ostrzega przed lukami w routerach Oprócz rozbicia sieci, FBI i partnerzy wydali wspólne publiczne ostrzeżenie, wzywając administratorów sieci oraz właścicieli urządzeń do podjęcia natychmiastowych kroków naprawczych w celu zmniejszenia powierzchni ataku na urządzenia brzegowe. Wspólny komunikat wymienił wszystkie 15 państw uczestniczących, obejmując wschodnią i północną flankę NATO, co odzwierciedla geograficzny zasięg działań GRU. 15 (państw) — uczestniczących w koalicji Operacji Masquerade Władze zaleciły konkretne środki ochronne dla użytkowników routerów, choć szczegółowe wytyczne techniczne zostały opublikowane osobno przez właściwe agencje. Nazwa działań, „Operacja Masquerade”, została potwierdzona w oświadczeniu Departamentu Sprawiedliwości USA, jak podaje G4Media, które jako pierwsze poinformowało o zaangażowaniu SRI. Ujawnienie tych informacji powiększa zbiór udokumentowanych rosyjskich operacji cybernetycznych przeciwko zachodniej infrastrukturze w czasie, gdy konflikt Rosji z Ukrainą oraz działania hybrydowe wymierzone w państwa członkowskie NATO pozostają priorytetowym wyzwaniem dla zachodnich rządów.