Myndigheternas gemensamma operation avvärjde Rysslands cyberspionage

Skyddspolisen och Cybersäkerhetscentret vid Traficom varnar finländare om Rysslands sätt att utnyttja dåligt skyddade hemroutrar och andra nätverksanslutna enheter vid cyberspionage.

Myndigheternas internationella samarbetsoperation har lyckats störa Rysslands militära underrättelsetjänst GRU:s cyberspionageverksamhet genom att förhindra användningen av ett globalt cyberspionagenätverk som består av komprometterade nätverksenheter. Skyddspolisen och Cybersäkerhetscentret vid Traficom deltog i denna operation som leddes av FBI i USA. 

Cyberhotaktören som har samband med GRU och som också är känd med namnen APT28, Fancy Bear och Forest Blizzard har under de senaste åren speciellt utnyttjat dåligt skyddade hemroutrar som en del av sin globala cyberspionageinfrastruktur. Den internationella samarbetsoperationen har gällt routrar i TP-länkar som GRU knäckt och där man inte har åtgärdat sårbarheten CVE-2023-50224. Denna sårbarhet ger angriparen möjlighet att göra en sådan uppgiftsbegäran till enheten som avslöjat lösenord eller nycklar som sparats i enheten och på så sätt gjort det möjligt för angriparen att kapa enheten för angriparens bruk.

GRU har använt knäckta nätverksanslutna enheter för att spionera användare av utrustning genom att ändra enheternas namnserverinställningar (DNS). Detta har möjliggjort genomförandet av ett så kallat man-in-the-middle-angrepp (adversary-in-the-middle) och dekryptering av krypterad nätverkstrafik. Knäckta nätverksanslutna enheter kan också ha använts som en del av en så kallad skyddsinfrastruktur för verksamheten, som både gör det möjligt att maskera cyberspionagetrafik som vanlig nättrafik och försvårar upptäckt, identifiering och spårning av gärningsmannen. GRU:s verksamhet har varit inriktad på sekretessbelagda uppgifter om militär verksamhet, statsförvaltningen och kritisk infrastruktur. 

I Finland avvärjde Skyddspolisen och Cybersäkerhetscentret tillsammans cyberhot som riktades mot Finland och som genomfördes via Finland. Under den gemensamma operationen informerade myndigheterna ägarna till riskroutrarna, rensade de enheter som GRU hade förmåga att ta sig in i och hindrade GRU från att få tillgång till enheterna i samarbete med deras ägare. De ryska underrättelsetjänsterna utgör dock ett kontinuerligt och långvarigt underrättelse- och cyberhot mot Finland, och upplösningen av ett enda enhetsnätverk undanröjer inte hotet.

Alla kan förebygga cyberspionage genom att skydda sina enheter hemma

Myndigheterna varnar för att Ryssland använder svagt skyddad nätverksutrustning som är ansluten till internet runt om i världen för informationsinhämtning. Syftet med varningen är att uppmuntra ägare av utrustning och informationssäkerhetsexperter att genom egna åtgärder minska möjligheterna till nätspionage. 

En svagt skyddad router kan utan ägarens vetskap möjliggöra cyberspionage eller annan skadlig verksamhet. Alla finländare kan förbättra säkerheten i nätet genom att ta hand om sin egen nätverksutrustning. Det är bra att hålla utrustning, applikationer och program uppdaterade och installera uppdateringar regelbundet. När utrustningen i hemnätet är aktuell, uppdaterad och stöds av tillverkaren minskar risken betydligt för att den används i cyberangrepp. 

På Cybersäkerhetscentrets webbsidor hittar du mer information om att skydda dina enheter:

• Informationssäkerheten i hemnätet och routern | Cybersäkerhetscentret

FBI publicerade myndigheternas gemensamma varning 7.4.2026:

• Russian GRU Exploiting Vulnerable Routers to Steal Sensitive Information | Internet Crime Complaint Center

Teknisk information om APT28:s verksamhet:

• APT28 exploit routers to enable DNS hijacking operations | NCSC-UK

Ytterligare information
Skyddspolisens kommunikation, tfn 050 402 6981, [email protected]
Traficoms medietjänst, tfn 029 534 5648