Alerta de ciberespionagem

O serviço de informações militar russo GRU executou uma operação de ciberespionagem de escala global, destinada ao comprometimento de routers, com o objetivo de intercetar e de exfiltrar informação sensível de natureza governamental, militar e referente a infraestruturas críticas.

O Sistema de Informações da República Portuguesa, através do Serviço de Informações de Segurança, junta-se aos seus parceiros da Alemanha, Canadá, Chéquia, Dinamarca, Eslováquia, Estados Unidos da América, Estónia, Finlândia, Itália, Letónia, Lituânia, Noruega, Polónia, Roménia e Ucrânia, para a difusão de um alerta coordenado destinado a alertar o público e encorajar os defensores das redes e proprietários dos aparelhos a tomarem as ações necessárias para reduzirem o potencial e a superfície destes ataques.

Com base na exploração hostil destes equipamentos, a unidade cibernética do GRU – popularmente conhecida por “APT28”, “Fancy Bear” e “Forest Blizzard” – conseguiu, desde 2024, comprometer, não apenas credenciais e tokens de autenticação, mas também comunicações por email e dados de navegação na Internet protegidos por protocolos SSL e TLS, redirecionando o tráfego online que transita pelos routers das vítimas para infraestrutura informática remota e sob o controlo do agente de ameaça. 

Esta operação de ciberespionagem russa enfatiza, uma vez mais, a sofisticação, a clandestinidade e o alcance global de agentes de ameaça que regularmente atuam no ciberespaço para a prossecução encoberta de objetivos táticos e estratégicos de Estados hostis. O resultado foi o comprometimento de informação sensível e da privacidade digital de cidadãos e de instituições dispersas à escala internacional. 

Caso suspeite que tenha sido visado ou comprometido por esta operação de ciberespionagem do GRU, por favor contacte o SIS ou qualquer uma das entidades nacionais competentes em cibersegurança nossas parceiras.   

Para uma informação mais detalhada, por favor consulte o Public Service Announcement do Federal Bureau of Investigation, disponibilizado no link abaixo.

Cyberthreats public announcement:

The Russian military intelligence service GRU is responsible for a worldwide cyberespionage operation targeting small-office home-office routers (SOHO) for the interception and exfiltration of sensitive information related to the governmental and military sectors and to critical infrastructures.  

SIS-Portugal joins rank with partner Services and Agencies from Canada, Czech Republic, Denmark, Estonia, Finland, Germany, Italy, Latvia, Lithuania, Norway, Poland, Romania, Slovakia, United States of America and Ukraine in a coordinated public announcement to alert the general public and network defenders to take the necessary actions to secure their edge devices and to help reduce the potential and the attack surface of this Russian campaign.

Since, at least 2024, the GRU’s cyber unit – also known as “APT28”, “Fancy Bear” e “Forest Blizzard” – has targeted these edge devices, not only to compromise credentials and authentication tokens, but also to get covert access to email communications and browsing activity generally protected by SSL and TLS protocols, namely by redirecting the victims’ online traffic to funnel through remote infrastructure under the control of the threat actor.

This Russian cyberespionage campaign exemplifies, once again, the sophistication and the global reach of these clandestine threat actors that regularly operate in cyberspace to pursue tactical or strategic advantages to hostile States, namely through the illegitimate access to sensitive information and by compromising the digital footprint of citizens and institutions worldwide.   

If you believe that you have been targeted or compromised by this GRU cyberespionage campaign, please contact SIS-Portugal or any of our public national cybersecurity partners.

For more detailed information, please check the Public Service Announcement by the Federal Bureau of Investigation, linked bellow.