Suojelupoliisi ja Traficomin Kyberturvallisuuskeskus varoittavat suomalaisia Venäjän tavasta hyödyntää heikosti suojattuja kotireitittimiä ja muita verkkolaitteita kybervakoilussa.
Viranomaiset osallistuivat Yhdysvaltojen FBI:n johtamaan kansainväliseen yhteisoperaatioon, jossa häirittiin Venäjän sotilastiedustelupalvelu GRU:n kybervakoilutoimintaa.
GRU:hun liitetty kyberuhkatoimija tunnetaan myös nimillä APT28, Fancy Bear ja Forest Blizzard. Viranomaisten mukaan se on viime vuosina hyödyntänyt erityisesti heikosti suojattuja kotireitittimiä osana maailmanlaajuista kybervakoiluinfrastruktuuriaan.
Kansainvälinen yhteisoperaatio kohdistui GRU:n murtamiin TP-Linkin reitittimiin, joissa ei ollut korjattu haavoittuvuutta CVE-2023-50224. Haavoittuvuus on mahdollistanut tietopyynnön tekemisen laitteelle niin, että siihen tallennetut salasanat tai avaimet ovat voineet paljastua. Tämän seurauksena laite on voitu kaapata hyökkääjän käyttöön.
GRU on käyttänyt murrettuja verkkolaitteita myös laitteiden käyttäjien vakoiluun muuttamalla niiden nimipalveluasetuksia eli DNS-asetuksia. Näin on voitu toteuttaa niin sanottu välimieshyökkäys ja purkaa salattua verkkoliikennettä.
Murrettuja laitteita on lisäksi voitu käyttää osana toiminnansuojausinfrastruktuuria. Sen avulla kybervakoiluliikenne voidaan naamioida tavanomaiseksi verkkoliikenteeksi, mikä vaikeuttaa tekijän havaitsemista, tunnistamista ja jäljittämistä.
Viranomaisten mukaan GRU:n kiinnostuksen kohteena on ollut sotilaallista toimintaa, valtionhallintoa ja kriittistä infrastruktuuria koskeva salassa pidettävä tieto.
Suomessa suojelupoliisi ja Kyberturvallisuuskeskus torjuivat yhdessä Suomeen kohdistuvaa ja Suomen kautta toteutettavaa kyberuhkaa. Yhteisoperaation aikana viranomaiset informoivat riskireitittimien omistajia, puhdistivat ne laitteet, joille GRU:lla oli kyky murtautua, ja estivät GRU:n pääsyn laitteille yhteistyössä omistajien kanssa.
Viranomaiset korostavat kuitenkin, että Venäjän tiedustelupalvelut aiheuttavat Suomelle jatkuvan ja pitkäkestoisen tiedustelu- ja kyberuhan. Yhden laiteverkoston hajottaminen ei poista uhkaa.