Reuters: 67 de conturi de e-mail ale Forţelor Aeriene Române, sparte de hackeri cu legături cu Rusia. Greșeala atacatorilor

Dar această grupare a pătruns şi în conturi ale unor instituţii din România, Grecia şi Bulgaria, conform analizei respective.

Date despre această campanie au fost expuse accidental pe internet chiar de hackerii respectivi şi descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici şi americani specializaţi în ameninţări cibernetice. Ctrl-Alt-Intel a declarat că datele rămase pe server – inclusiv jurnale ale operaţiunilor de hacking reuşite şi mii de e-mailuri sustrase – relevă că hackerii au compromis cel puţin 284 de inbox-uri între septembrie 2024 şi martie 2026.

Cele mai multe ţinte sunt din Ucraina, altele din ţări NATO vecine şi din Balcani. Operaţiunea a fost descrisă pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel. Agenţia Reuters a analizat datele subiacente şi publică pentru prima dată detalii despre respectivele atacuri cibernetice, inclusiv despre 12 entităţi şi oficiali europeni vizaţi.

Ctrl-Alt-Intel afirmă că această eroare a oferit o ocazie rară de a analiza mecanismele interne ale unei campanii ruseşti de spionaj.

Hackerii au comis pur şi simplu o greşeală operaţională monumentală, relevă Ctrl-Alt-Intel: „Şi-au lăsat uşa de la intrare larg deschisă”.

Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii din partea Reuters. Moscova a negat în repetate rânduri că ar fi implicată în operaţiuni de piraterie informatică împotriva altor ţări.

Ctrl-Alt-Intel a atribuit această campanie de hacking grupului Fancy Bear, numele sub care este cunoscută o unitate rusească de ciberspionaj militar. Doi cercetători care au examinat independent raportul Ctrl-Alt-Intel – Matthieu Faou de la firma de securitate cibernetică ESET şi Feike Hacquebord de la TrendAI – sunt de acord că aceşti hackerii au legături cu Moscova. Cu toate acestea, Faou a precizat că nu poate confirma implicarea Fancy Bear, iar Hacquebord a contestat că ar fi vorba de Fancy Bear, sugerând că mai degrabă este o altă grupare rusească de piraterie cibernetică.

Probabil că forţele de ordine ucrainene au fost vizate de hackeri fie pentru ca partea rusă să fie cu un pas înaintea anchetatorilor care încercau să-i demaşte pe spionii Moscovei, fie pentru a aduna informaţii potenţial compromiţătoare despre înalţi oficiali de la Kiev, a declarat Keir Giles, cercetător asociat think tank-ului Chatham House din Londra, care a analizat lista ţintelor.

Ce arată datele

Datele arată că hackerii au pătruns în conturile gestionate de Biroul procurorului specializat în domeniul apărării din Ucraina, un organism creat în contextul războiului pentru a combate corupţia şi a demasca spionii din cadrul armatei ucrainene. De asemenea, aceştia au vizat Agenţia ucraineană pentru recuperarea şi gestionarea activelor (ARMA), care supraveghează activele confiscate de la infractori şi colaboratori ruşi, precum şi Centrul de formare a procurorilor cu sediul la Kiev.

Printre ţintele vizate figurează Iaroslava Maksimenko, care conducea ARMA la acea vreme. La Centrul de formare a procurorilor, documentele dezvăluie că hackerii au accesat conturile de e-mail a 44 de angajaţi, inclusiv pe cel al directorului adjunct al centrului, Oleg Duka. De asemenea, ruşii ar fi sustras date de la cel puţin un oficial superior din cadrul Parchetului Special Anticorupţie (SAPO), care a investigat unele dintre cele mai importante scandaluri de corupţie din Ucraina, unul dintre acestea ducând la demisia negociatorului-şef pentru pace al preşedintelui Volodimir Zelenski, Andrii Iermak, în noiembrie trecut. Iermak a fost şeful administraţiei prezidenţiale de la Kiev şi al doilea om în stat după Zelenski, potrivit media ucrainene.

Echipa ucraineană de intervenţie în caz de urgenţe informatice a declarat că era la curent cu atacul cibernetic şi că investigase deja unele dintre breşele de securitate identificate de Reuters.

Atacul cibernetic descoperit de Ctrl-Alt-Intel reprezintă doar o „mică parte din activitatea întregului ecosistem de spionaj aliniat Rusiei”, a declarat Faou, cercetătorul de la ESET. Datele arată că hackerii au pătruns în inbox-ul spitalului central din Pokrovsk, un nod feroviar asupra căruia Rusia încearcă să-şi consolideze controlul, precum şi inbox-ul aparţinând comisiei de finanţe a oraşului respectiv.

Datele arată că zeci de oficiali din ţările vecine membre NATO au fost, de asemenea, victime ale unor atacuri cibernetice legate de această grupare.

În România, hackerii au compromis cel puţin 67 de conturi de e-mail ale Forţelor aeriene române, printre care mai multe aparţinând unor baze aeriene ale NATO şi cel puţin al unui ofiţer superior. Ministerul Apărării din România nu a răspuns solicitărilor de comentarii din partea Reuters.

Datele arată că spionii au compromis 27 de inbox-uri gestionate de Statul Major General al armatei din Grecia, cel mai înalt organism militar al ţării. Printre cei vizaţi de atacurile cibernetice s-au numărat ataşaţii militari greci din India şi Bosnia, precum şi Centrul de sănătate mentală al armatei elene. Statul Major General grec nu a răspuns la o listă detaliată de întrebări din partea Reuters. În Bulgaria, hackerii au pătruns în cel puţin patru inbox-uri aparţinând unor oficiali locali din regiunea Plovdiv, unde se presupune că interferenţele ruseşti ar fi dezactivat serviciile de navigaţie prin satelit înaintea unei vizite a preşedintei Comisiei Europene, Ursula von der Leyen, anul trecut. Oficialii bulgari nu au răspuns la solicitările de comentarii din partea agenţiei britanice de presă.

Hackerii au piratat de asemenea conturile unor cadre universitare şi oficiali militari din Serbia, un aliat tradiţional al Rusiei, mai scrie Reuters.