Следи от намеса на руската хакерска група „Fancy Bear“ са открити в сръбското Министерство на отбраната, Военната академия и Военномедицинската академия (ВМА).
Американски и британски държавни институции свързват „Fancy Bear“ с руското военно разузнаване ГРУ.
От международната инициатива „Ctrl Alt Intel“, в която участват независими експерти по киберсигурност, са успели в средата на март да получат достъп до папки на сървър на руската хакерска група.
На сървърите, според споделените данни, са открити доказателства, че руските хакери са събирали информация от имейл адреси на три сръбски държавни институции.
За кибератаката не е било съобщено на Повереника за информация от обществено значение и защита на личните данни, както изисква сръбското законодателство.
В доклада на „Ctrl Alt Intel“ се посочва, че наличните данни показват възможност за идентифициране на шест различни имейл акаунта на Министерството на отбраната, които са били хакнати, като нападателите са успели да заобиколят и допълнителната защита за потвърждение на вход (двуфакторна автентикация).
При четири от акаунтите е настроено автоматично препращане на имейли към други адреси, което е позволило на нападателите да следят цялата входяща кореспонденция, казват още от организацията.
Наличните данни не съдържат времеви отметки, поради което не може да се установи кога е извършена първоначалната атака.
Съществува възможност тя да е продължила още от октомври 2024 г.
Има вероятност тези имейл адреси все още да препращат съобщения към адреси, свързани с „Fancy Bear“.
„Fancy Bear“ е хакерска група, активна поне от десет години, известна още като „APT28“ или „Forest Blizzard“, както я обозначава Microsoft.
Британският Национален център за киберсигурност оценява, че „APT28“ почти сигурно е част от Главното разузнавателно управление (ГРУ) на Русия.
Членове на групата са били идентифицирани като офицери на ГРУ в обвинителен акт на американското Министерство на правосъдието от 2018 г. - за хакерски атаки срещу Демократическата партия в САЩ.
Според Microsoft групата обикновено атакува правителства, неправителствени организации, IT компании и университети в различни държави, включително САЩ, Канада, Индия, Украйна и Израел.
През сръбски институции към европейски военни структури
Един от основните методи на групата е т. нар. spear phishing – целенасочено изпращане на съобщения, които изглеждат като изпратени от доверен източник.
Целта е жертвата да бъде подведена да отвори зловреден файл, чрез който се осигурява достъп до вътрешни системи.
В случая със сръбските институции са идентифицирани шест компрометирани имейл акаунта в Министерството на отбраната, както и по един в системите на Военната академия и ВМА.
Събрани са 248 контакта, с които е осъществявана комуникация от тези акаунти.
Чрез тях са осъществявани контакти както вътре в сръбското Министерство на отбраната, така и с европейски военни и отбранителни структури, като хакерите са извлекли списъци с контакти, за да разширят достъпа си.
Интерес към Сърбия заради твърдения за износ на оръжие за Украйна
В някои атаки „Fancy Bear“ действа съвместно с групата „Midnight Blizzard“, свързвана със Службата за външно разузнаване на Русия (СВР).
Подобна съвместна активност е установена при атака срещу сръбска неправителствена организация през миналата година, при която са били достъпени над 28 000 имейла.
Сърбия е била обект на интерес от страна на СВР през 2025 г. заради твърдения, че изнася боеприпаси за Украйна чрез посредници и фалшиви сертификати.
Руският президент и сръбският държавен глава са обсъждали темата, като Белград е отрекъл част от обвиненията и е създадена съвместна работна група за установяване на фактите.
По-късно сръбският президент обяви временно спиране на износа на боеприпаси.
Точните данни за количествата и видовете изнасяно оръжие не са публично достъпни, а Министерството на отбраната не публикува редовно годишни отчети за издадените разрешения за износ. /БГНЕС
Коментари (0)