Hackeri cu legături în Rusia au spart peste 170 de conturi de e-mail aparținând procurorilor și anchetatorilor din toată Ucraina în ultimele câteva luni, dar și mailuri din România, Bulgaria, Grecia și Serbia, potrivit unor date analizate de Reuters.
Datele au fost expuse din greșeală pe internet de către hackeri și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice.
Ctrl-Alt-Intel a spus că datele rămase pe server – inclusiv jurnalele operațiunilor de hacking reușite și mii de e-mailuri furate – au arătat că hackerii au compromis cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026.
„Au lăsat ușa din față larg deschisă”
Majoritatea victimelor atacurilor cibernetice erau din în Ucraina, dar au au fost vizate ținte și din România și alte țări NATO vecine cu Ucraina și din Balcani.
Operațiunea a fost descrisă pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel. Reuters a analizat datele de bază și publică pentru prima dată detalii despre atacurile cibernetice, inclusiv identitățile a peste o duzină de agenții și oficiali europeni compromiși.
Ctrl-Alt-Intel a explicat că greșeala făcută de hackeri a oferit o ocazie rară de a examina modul de funcționare al unei campanii de spionaj rusești.
Hackerii „au comis pur și simplu o greșeală operațională uriașă”, potrivit grupului. „Au lăsat ușa din față larg deschisă”, a afirmat Ctrl-Alt-Intel.
Zeci de conturi ale Forțelor Aeriene Române, sparte
Datele arată că, în afară de Ucraina, zeci de oficiali din țările vecine membre NATO au fost, de asemenea, victime ale atacurilor cibernetice.
În România, hackerii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, printre care se numără câteva aparținând bazelor aeriene NATO și cel puțin contul un ofițer militar de rang înalt. Ministerul Apărării din România nu a răspuns solicitărilor de declarații, notează Reuters.
Noile informații vin după ce, miercurea trecută, președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat că FBI, împreună cu mai multe instituții din 15 state, printre care Serviciul Român de Informații, au destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale.
Potrivit SRI, serviciul de spionaj rus GRU „a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”.
„Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali”, a spus Nicușor Dan săptămâna trecută, relatează HotNews.
Grecia, Bulgaria și Serbia – pe listă
Datele arată, de asemenea, că spionii au compromis 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene, cel mai înalt organism militar al Greciei.
Printre cei piratați s-au numărat atașații militari greci din India și Bosnia, precum și căsuța de e-mail destinată publicului a Centrului de Sănătate Mentală al Forțelor Armate Comune din Grecia.
În Bulgaria, hackerii au pătruns în cel puțin patru căsuțe de e-mail aparținând unor oficiali locali din provincia Plovdiv, unde se presupune că interferența rusă ar fi dezactivat serviciile de navigație prin satelit înaintea unei vizite a președintei Comisiei Europene, Ursula von der Leyen, în 2025.
Datele arată, de asemenea, că spionii au piratat conturile unor academicieni și oficiali militari din Serbia, un aliat tradițional al Rusiei. Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii.
„O presupusă relație strânsă cu Moscova nu constituie o garanție împotriva spionajului rus”, a afirmat Keir Giles de la think-tank-ul londonez Chatham House, care a analizat o listă a victimelor atacului cibernetic.
„Fancy Bear”, principalul suspect
Ctrl-Alt-Intel a atribuit campania de atacuri cibernetice grupului „Fancy Bear”, una dintre poreclele atribuite unei binecunoscute echipe militare ruse de hackeri.
Doi cercetători care au analizat în mod independent analiza Ctrl-Alt-Intel – Matthieu Faou, de la compania de securitate cibernetică ESET, și Feike Hacquebord, de la compania de securitate cibernetică TrendAI – au fost de acord că hackerii au legături cu Moscova.
Cu toate acestea, Faou a spus că nu a putut verifica implicarea „Fancy Bear”, iar Hacquebord a contestat implicarea Fancy Bear.
În anunțul de săptămâna trecută, departamentul de Justiție al SUA și FBI spuneau că, „cel puțin din anul 2024, actorii cibernetici ai Centrului 85 Principal de Servicii Speciale al GRU (85 GTsSS) — cunoscuți și sub numele de APT28, Fancy Bear și Forest Blizzard — au colectat date de autentificare și au exploatat routere vulnerabile la nivel mondial, inclusiv compromiterea routerelor TP-Link folosind vulnerabilitatea CVE-2023-50224”.
Ce ținte au avut în Ucraina
Hackerii au vizat probabil forțele de ordine ucrainene fie pentru a fi cu un pas înaintea anchetatorilor care lucrează pentru a demasca spionii Moscovei, fie pentru a aduna informații potențial compromițătoare despre înalți oficiali de la Kiev, a declarat Keir Giles.
Datele au arătat că hackerii au pătruns în conturile gestionate de Parchetul Specializat în Domeniul Apărării, un organism de război înființat pentru a combate corupția și a demasca spionii din armata ucraineană.
De asemenea, aceștia au vizat Agenția de Recuperare și Gestionare a Activelor din Ucraina (ARMA), care supraveghează activele confiscate de la infractori și colaboratori ruși, precum și Centrul de Formare a Procurorilor din Kiev.
Printre victime s-a numărat și Yaroslava Maksymenko, care era șefa ARMA la momentul respectiv, arată datele analizate. La Centrul de Formare a Procurorilor, datele arată că hackerii au pătruns în căsuțele de e-mail ale a 44 de angajați, inclusiv una aparținând directorului adjunct al centrului, Oleg Duka.
Se presupune că rușii au furat date de la cel puțin un angajat de rang înalt al Parchetului Specializat Anticorupție (SAPO), care a anchetat unele dintre cele mai mediatizate scandaluri de corupție din Ucraina, inclusiv unul care a dus, în luna noiembrie, la demisia lui Andrii Iermak, principalul negociator al președintelui Volodimir Zelenski.
Echipa de intervenție în caz de urgențe informatice din Ucraina a spus că este la curent cu atacul cibernetic și că investigase deja unele dintre țintele informatice compromise identificate de Reuters.
