Departamentul de Stat al SUA a anunțat o recompensă de 10 milioane de dolari pentru trei ruși, acuzați că sunt agenți de informații care atacă infrastructura critică americană, în special prin exploatarea unor echipamente Cisco vechi.
Aceștia ar fi membri ai Centrului 16 al Serviciului Federal de Securitate rus (FSB), cunoscut și sub numele de „Berserk Bear”.
Ei ar fi folosit o vulnerabilitate Cisco din 2018 care, deși a fost remediată de companie, rămâne exploatabilă pe echipamente mai vechi neactualizate.
În campania de hacking „Salt Typhoon”, FBI susține că au fost furate date de la „aproape toți americanii”, deși atacul a fost atribuit inițial Chinei.
Cei trei acuzați, Marat Valeryevich Tyukov, Mikhail Mikhailovich Gavrilov și Pavel Aleksandrovich Akulov, ar fi vizat peste 500 de companii energetice din 135 de țări, folosind vulnerabilitatea Cisco pentru a prelua controlul asupra mii de echipamente de rețea, a colecta informații și a instala malware.
FSB Center 16, cunoscut și ca „Dragonfly”, a compromis timp de peste un deceniu echipamente de rețea din întreaga lume, în special pe cele care folosesc protocoale vechi necriptate. Totuși, multe dintre aceste echipamente vechi sunt încă folosite și scapă atenției administratorilor.
În 2015, unitatea a instalat pe unele dispozitive Cisco malware-ul „SYNful Knock”.
Potrivit unui rechizitoriu din 2021, cei trei ruși ar fi vizat firme de petrol și gaze, centrale nucleare și companii de utilități pentru a cartografia rețelele interne în vederea unor atacuri viitoare.
Campania lor ar fi început în 2012 și ar fi vizat peste 3.300 de persoane din 500 de organizații la nivel global.
Unul dintre ținte a fost centrala nucleară Wolf Creek din Kansas, unde suspecții ar fi instalat software pentru a colecta datele de autentificare ale operatorilor. Intruziunea a fost descoperită doar după ce operatorii au contactat FBI.
Deși atacurile datează de ani buni, momentul anunțării recompensei rămâne neclar, având în vedere că suspecții evită teritoriul SUA și țările cu tratate de extrădare. Anunțul pare mai degrabă o acțiune de imagine.
Cisco nu a făcut declarații oficiale până la publicarea articolului.
