„Operation Masquerade": FBI, SRI și servicii din 14 state NATO au destructurat rețeaua de spionaj cibernetic a GRU — România, printre țintele vizate

Hackerii militari ruși din gruparea Fancy Bear exploatau routere obișnuite din case și birouri pentru a intercepta date clasificate. Operațiunea a vizat armata, guverne și infrastructuri critice din întreaga lume.

O operațiune de amploare, desfășurată de Federal Bureau of Investigation (FBI) în colaborare cu servicii de informații din 15 state, inclusiv Serviciul Român de Informații (SRI), a dus miercuri, 8 aprilie, la destructurarea unei rețele de spionaj cibernetic atribuite Direcției Principale de Informații a Statului Major Rus — cunoscuta sub acronimul GRU. Operațiunea, denumită „Masquerade" de autoritățile americane, vizează Centrul 85 Principal de Servicii Speciale al GRU (85 GTsSS), unitatea militară 26165, notorie în comunitățile de intelligence occidentale sub mai multe identități: APT28, Fancy Bear, Forest Blizzard, Pawn Storm, Sofacy Group sau Sednit.

Anunțul a fost făcut simultan de Departamentul de Justiție al SUA (DoJ) și FBI și confirmat în România de președintele Nicușor Dan și de SRI.

Cum funcționa rețeaua: routerul din sufragerie, unealtă de spionaj

Operațiunea viza în special routere de tip „small-office/home-office" (SOHO) — dispozitivele de conectare la internet prezente în majoritatea locuințelor și birourilor — transformate în puncte de acces pentru atacuri informatice complexe. Hackerii modificau setările de rețea ale dispozitivelor compromise pentru a redirecționa traficul prin infrastructura controlată de ei. Această tehnică le permitea să intercepteze comunicații și să obțină acces la date care, în mod normal, ar fi fost protejate.

Metoda concretă folosită este cunoscută în securitatea cibernetică drept DNS hijacking — deturnarea serverelor de nume de domeniu. Atacatorii modificau configurațiile DNS ale routerelor pentru a redirecționa utilizatorii, fără știrea lor, către servere controlate de GRU. GRU a colectat parole, token-uri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web care, în mod normal, sunt protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security).

Hackerii au exploatat punctele slabe ale routerelor încă din 2024, inclusiv ale routerelor populare TP-Link. Prin piratarea acestora, au reușit să intercepteze schimburile de date de pe dispozitive mobile și laptopuri și să ocolească protocoalele de criptare standard.

Strategia grupării nu a fost una de precizie chirurgicală, ci mai degrabă de plasă largă, urmată de selecție: membrii grupării nu au avut limite în selectarea țintelor inițiale și manipularea routerelor, fiind vizat orice server compromis. Ulterior, aceștia au implementat un proces automat de filtrare pentru a stabili care ținte compromise prezentau interes și meritau să meargă mai departe. Au fost vizate cu precădere ținte din domenii militare, guvernamentale și din infrastructura critică.

România — țintă confirmată. SRI, partener în anchetă

SRI anunță printr-un comunicat de presă că a participat la operațiunea „Masquerade" prin intermediul Centrului Național Cyberint. „În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental", a explicat SRI.

În operațiunea de destructurare a rețelei a fost implicată Agenția Națională de Securitate a SUA (NSA), care a colaborat cu parteneri internaționali din Canada, Republica Cehă, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina.

Participarea SRI la o operațiune de această anvergură, alături de NSA și principalele servicii de contrainformații NATO, marchează o prezență concretă a României în arhitectura de securitate cibernetică occidentală — un detaliu semnificativ în contextul în care țara se confruntă cu presiuni hibride rusești documentate cel puțin din 2024.

Nicușor Dan: „Numai cine este de rea-credință nu vede asta"

Președintele Nicușor Dan a reacționat public imediat, printr-o postare pe Facebook: „FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale. Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali."

Ce este GRU și de ce contează

GRU — Direcția Principală de Informații a Statului Major al Forțelor Armate ale Federației Ruse — este serviciul de informații militare al Rusiei, distinct de FSB (contrainformații interne) și SVR (spionaj extern civil). Unitatea 26165/APT28/Fancy Bear este considerată de comunitatea de intelligence occidentală una dintre cele mai active și mai periculoase structuri de spionaj cibernetic de stat din lume. Aceeași unitate a fost implicată, de-a lungul anilor, în atacurile cibernetice asupra Comitetului Național Democrat american (2016), asupra Agenției Mondiale Antidoping (WADA), și în multiple operațiuni de destabilizare în Europa.

Avertisment pentru utilizatorii obișnuiți

Modul de operare al actorului cibernetic evidențiază necesitatea adoptării unor măsuri de protecție din partea tuturor utilizatorilor de dispozitive SOHO: înlocuirea dispozitivelor End-of-Life și End-of-Support, pentru care producătorii nu mai emit actualizări; actualizarea firmware-ului la versiunile recente; schimbarea credențialelor implicite (username și parolă prestabilite de fabrică); și dezactivarea accesului de administrare la distanță acolo unde nu este necesar.

FBI și partenerii operațiunii au publicat totodată un ghid tehnic de securitate, inclusiv avertizarea NCSC-UK „APT28 exploit routers to enable DNS hijacking operations", datată 7 aprilie 2026, și resurse dedicate ale agenției CISA din SUA.

Context mai larg: războiul hibrid continuă

Operațiunea „Masquerade" vine pe fondul unui tablou mai larg de activitate hibridă rusă în Europa. În február 2026, autoritățile din Republica Moldova și Ucraina au anunțat destructurarea operațiunii „Enigma 2.0" — o rețea de cetățeni moldoveni recrutați de GRU pentru asasinate la comandă în Ucraina. În 2025, o instanță din Estonia a condamnat un cetățean moldovean pentru incendierea unui restaurant din Tallinn, stabilind că acesta acționase la ordinul serviciilor ruse. Modelul este în toate cazurile același: serviciile rusești nu operează direct, ci prin proxy — persoane vulnerabile, rețele criminale sau infrastructuri civile compromise, exploatate pentru a crea instabilitate cu risc politic minim pentru Moscova.

„Masquerade" demonstrează că frontul cibernetic al acestui război hibrid trece, literalmente, prin routerul din camera de zi.