Raport arată că hackeri ruși au accesat zeci de conturi de e-mail ale procurorilor ucraineni
Peste 170 de conturi de e-mail ale procurorilor și anchetatorilor din Ucraina au fost compromise în ultimele luni de hackeri cu legături presupuse în Rusia, conform unei analize Reuters.
Incidentul indică o campanie de spionaj cibernetic prin care, potrivit informațiilor disponibile, structuri asociate Moscovei urmăresc activitatea oficialilor ucraineni implicați în combaterea corupției și în investigarea colaboratorilor Rusiei.
Datele au fost expuse accidental pe internet chiar de grupul de hackeri implicat, fiind ulterior identificate de Ctrl-Alt-Intel, un colectiv de cercetători din Marea Britanie și Statele Unite specializat în amenințări cibernetice.
Potrivit acestora, informațiile rămase pe server – care includ jurnale ale operațiunilor de atac reușite și mii de mesaje e-mail sustrase – indică faptul că atacatorii ar fi compromis cel puțin 284 de conturi de e-mail în perioada septembrie 2023 – martie 2024.
Majoritatea victimelor erau din Ucraina, în timp ce restul proveneau din state vecine membre NATO și din regiunea Balcanilor. Operațiunea a fost prezentată pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel, iar ulterior Reuters a analizat datele brute, dezvăluind în premieră detalii despre atacuri informatice ce vizează peste o duzină de agenții și oficiali europeni compromiși.
Reprezentanții Ctrl-Alt-Intel au susținut că această scurgere de informații a oferit o ocazie rară de a studia modul de funcționare al unei presupuse campanii de spionaj rusești. Ei au descris situația drept o „eroare operațională majoră”, adăugând că atacatorii „și-au lăsat practic ușa deschisă larg”.
Ambasada Rusiei la Washington nu a oferit un punct de vedere la solicitările de presă, în timp ce Moscova a respins în mod repetat acuzațiile privind implicarea în atacuri cibernetice împotriva altor state.
Analiza grupului Ctrl-Alt-Intel indică faptul că o campanie de atacuri informatice ar fi fost desfășurată de „Fancy Bear”, una dintre denumirile asociate unei structuri de hacking cu presupuse legături cu statul rus.
Totuși, cercetători independenți care au evaluat concluziile, Matthieu Faou de la ESET și Feike Hacquebord de la TrendAI, au confirmat existența unor indicii privind posibile conexiuni cu Moscova, însă au subliniat că atribuirea directă către Fancy Bear nu poate fi verificată cu certitudine, iar implicarea grupării este contestată.
În evaluarea contextului operațional, Keir Giles, analist la Chatham House, a arătat că țintele atacurilor sugerează un interes strategic: fie de a compromite anchetele care vizează rețele de spionaj rusești din Ucraina, fie de a colecta informații sensibile despre oficiali de la Kiev.
Datele analizate indică faptul că atacatorii au compromis conturi aparținând Parchetul Specializat în Domeniul Apărării, instituție creată în timpul războiului pentru combaterea corupției și contraspionaj militar. În același timp, au fost vizate și structuri precum ARMA, responsabilă de administrarea bunurilor confiscate de la persoane acuzate de infracțiuni sau colaborare cu Rusia, precum și Centrul de Formare a Procurorilor din Kiev.
Printre persoanele afectate s-ar fi numărat Iaroslava Maksimenko, care conducea ARMA la momentul incidentului. De asemenea, la Centrul de Formare a Procurorilor, investigațiile arată compromiterea a 44 de conturi de e-mail, inclusiv cel al lui Oleg Duka.
Separat, există indicii că atacatorii ar fi sustras date și de la un oficial de rang înalt din cadrul Parchetului Specializat Anticorupție (SAPO), instituție implicată în dosare de corupție cu impact politic major, inclusiv cazuri legate de demisii controversate din cercul președintelui Volodimir Zelenski, precum Andriy Yermak.
Instituțiile vizate, inclusiv ARMA, SAPO și structurile de procuratură, nu au oferit până acum reacții oficiale. În schimb, echipa națională de intervenție în incidente de securitate cibernetică din Ucraina a confirmat că a fost informată despre atac și că a analizat deja o parte dintre compromiterile semnalate în ancheta Reuters.
Hackerii au vizat atât ținte considerate ostile, cât și instituții din state percepute drept apropiate de Kremlin, într-o campanie cibernetică descrisă de specialiști ca fiind limitată ca amploare în raport cu întregul ecosistem de spionaj asociat Rusiei. Potrivit cercetătorului ESET Faou, activitatea identificată de gruparea Ctrl-Alt-Intel reprezintă doar „un set restrâns de operațiuni”.
Analiza datelor arată că atacatorii au reușit să compromită adrese de e-mail ale Spitalului Central din Pokrovsk, un punct feroviar strategic aflat într-o zonă în care Rusia încearcă să-și consolideze influența, dar și o căsuță poștală aparținând comisiei locale de finanțe. În paralel, au fost identificate tentative și atacuri reușite asupra a zeci de oficiali din state membre NATO din regiune.
În România, cel puțin 67 de conturi de e-mail administrate de Forțele Aeriene Române ar fi fost compromise, inclusiv unele asociate bazelor aeriene utilizate de NATO, precum și un ofițer militar cu rang înalt. Ministerul Apărării Naționale nu a oferit un punct de vedere în urma solicitărilor de presă.
Situații similare au fost raportate și în Grecia, unde 27 de conturi gestionate de Statul Major al Apărării Naționale Elene au fost afectate. Printre țintele vizate s-au numărat atașați militari din India și Bosnia, dar și un cont al Centrului de Sănătate Mintală al forțelor armate. Nici instituția elenă nu a răspuns întrebărilor jurnaliștilor.
În Bulgaria, atacatorii au accesat cel puțin patru căsuțe de e-mail ale unor oficiali din regiunea Plovdiv, zonă unde s-au raportat anterior suspiciuni de interferențe rusești asupra sistemelor de navigație prin satelit, înaintea unei vizite a președintelui Comisiei Europene, Ursula von der Leyen. Autoritățile bulgare nu au comentat incidentul.
De asemenea, în Serbia, un aliat tradițional al Moscovei, au fost vizate conturi aparținând unor cadre universitare și ofițeri din structurile militare. Nici Ministerul Apărării de la Belgrad nu a oferit clarificări. Experții citați subliniază că, în contextul actual, apropierea politică de Rusia nu oferă garanții împotriva operațiunilor de spionaj cibernetic.
