O analiză Reuters dezvăluie că hackeri cu legături în Rusia au compromis cel puțin 67 de conturi de e-mail ale unor ofițeri ai Forțelor Aeriene Române, printre care se numără mai multe conturi aparținând bazelor aeriene NATO și cel puțin unul al unui ofițer de rang înalt. Ministerul român al Apărării nu a comentat situația până la acest moment.
Hackerii cu legături în Rusia au spart peste 170 de conturi de e-mail aparținând procurorilor și anchetatorilor din toată Ucraina în ultimele câteva luni, potrivit datelor analizate de Reuters, o campanie care arată cum spionii de la Moscova îi țin sub observație pe oficialii ucraineni însărcinați cu eradicarea corupției și a colaboratorilor ruși, scrie News.ro
Potrivit Reuters, datele au fost expuse din greșeală pe internet de către hackeri și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice. Ctrl-Alt-Intel a declarat că datele rămase pe server – inclusiv jurnalele operațiunilor de hacking reușite și mii de e-mailuri furate – au arătat că hackerii au compromis cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. Majoritatea victimelor se aflau în Ucraina, însă altele provin din țările vecine membre NATO și din Balcani.
Operațiunea a fost descrisă pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel. Reuters a analizat datele de bază și publică pentru prima dată detalii despre atacurile cibernetice, inclusiv identitățile a peste o duzină de agenții și oficiali europeni vizați. Acțiunile hackerilor cu legături în Rusia au fost descoperite întâmplător, după ce aceștia au lăsat „deschise” pe internet date interne, inclusiv jurnale ale operațiunilor și mii de e-mailuri furate. Specialiștii Ctrl-Alt-Intel au afirmat că această greșeală „a oferit o ocazie rară de a examina modul de funcționare al unei campanii de spionaj rusești”.
Atacul cibernetic reprezintă „o mică parte din activitatea ecosistemului de spionaj aliniat Rusiei”, a declarat un cercetător de la ESET. Datele arată că hackerii au pătruns în căsuța de e-mail a Spitalului Central din Pokrovsk (Ucraina), un nod feroviar asupra căruia Rusia a încercat să-și consolideze controlul, precum și într-o căsuță de e-mail aparținând comisiei financiare a orașului. Potrivit acelorași date citate de Reuters, zeci de oficiali din țările NATO învecinate au fost, de asemenea, victime ale atacurilor cibernetice.
Reuters precizează că, în România, hackerii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, printre care se numără mai multe conturi aparținând bazelor aeriene NATO și cel puțin unul al unui ofițer superior.
Unii specialiști au atribuit operațiunea grupului cunoscut sub numele de Fancy Bear, asociat în trecut cu serviciile militare ruse, însă nu toți experții sunt de acord în legătură cu implicarea directă a acestui grup.
Potrivit Reuters, datele arată că au ami fost compromise conturi de e-mail din Grecia, Bulgaria și Serbia.
Reacția MApN
Ministerul român al Apărării precizează, miercuri după-amiază, în legătură cu incidentul de securitate semnalat, că acesta a fost depistat în luna martie a anului 2025 și a presupus compromiterea a câtorva zeci de adrese de email, iar pentru alte 30 de adrese de email exploatarea nu a avut succes.
„Incidentul a fost depistat, analizat de structurile competente si izolat în termen de 24 de ore. Datele vizate au fost unele neclasificate, utilizate în mod curent pentru activități administrative și pentru vehicularea unor informații publice, astfel că nu a existat posibilitatea accesării sau exfiltrării de date clasificate”, adaugă MApN.
Potrivit aceleiași surse, pentru a limita apariția unor situații similare în viitor, partea de securitate cibernetica a fost preluată integral la nivel central începând cu luna martie 2026.
„Instituția noastră monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor eventuale vulnerabilități”, mai arată MApN.
Routere domestice, inclusiv din România, atacate de Rusia
Este descris modul în care grupul a transformat routere din mediul domestic și din birourile mici (SOHO) în platforme de supraveghere la nivel de stat.
De ce este important Deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când Microsoft observă deturnarea DNS utilizată la scară largă pentru a susține direct atacurile de tip adversar-în-mijloc (AiTM) împotriva conexiunilor TLS.
Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard.
De asemenea interesant Deși nu s-a observat nicio compromitere a activelor deținute de Microsoft, cercetătorii consideră că operațiunea reprezintă o escaladare semnificativă a modului în care actorii statali transformă dispozitivele periferice neadministrate în arme și ar putea permite interceptarea activă la scară mai largă în viitor.
Cel puțin din august 2025, Forest Blizzard exploatează dispozitive de internet SOHO vulnerabile pentru a deturna traficul DNS, permițând colectarea pasivă a datelor de rețea, în timp ce ascunde operațiunile ulterioare în spatele unei infrastructuri legitime.
Această abordare îi permite să obțină vizibilitate în medii mai mari și mai bine protejate, fără a încălca direct rețelele corporative
Modul de acțiune este descris detaliat AICI
Recent, președintele Nicușor Dan a anunțat că FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale.
"Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali", a spus șeful statului.
Departamentul american al justiției consemnează că ”Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”.
„Utilizarea abuzivă de către GRU a rețelelor din locuințele și companiile americane pentru operațiuni cibernetice malițioase rămâne o amenințare gravă și persistentă”, a declarat procurorul general adjunct pentru securitate națională, John A. Eisenberg. „Divizia de Securitate Națională va continua să folosească toate instrumentele disponibile pentru a detecta astfel de intruziuni și pentru a elimina actorii străini ostili din rețelele noastre”, a completat el.
„Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”, a declarat procurorul federal pentru Districtul de Est al Pennsylvaniei, David Metcalf.
„În fața agresiunii continue din partea adversarilor statali, guvernul SUA va răspunde la fel de ferm. Lucrând împreună cu FBI - și cu partenerii noștri din întreaga lume - suntem hotărâți să perturbăm și să expunem astfel de amenințări la adresa securității cibernetice a națiunii”, a spus el.
„Operațiunea Masquerade demonstrează angajamentul FBI de a identifica, expune și contracara eforturile guvernului rus de a compromite dispozitive americane, de a fura informații sensibile și de a viza infrastructuri critice”, a declarat directorul adjunct Brett Leatherman, din cadrul Diviziei Cibernetice a FBI.
”FBI și următorii parteneri emit acest anunț pentru a avertiza publicul și pentru a încuraja pe cei care asigură protecția rețelelor și proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităților și reducerea zonei de atac a unor dispozitive similare de tip edge: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina”, a precizat FBI.
CUM ACȚIONAU
Cel puțin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuți și sub denumirile APT28, Fancy Bear și Forest Blizzard – au colectat credențiale și au exploatat routere vulnerabile la nivel global, inclusiv compromițând routere TP-Link folosind vulnerabilitatea CVE-2023-50224, precizează FBI.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web, care sunt în mod normal protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security).
”GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, după care a filtrat utilizatorii afectați, vizând în special informații legate de domeniul militar, guvernamental și infrastructurile critice”, indică FBI.
