Datele au fost expuse din greșeală pe internet de către hackeri și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice.
Ctrl-Alt-Intel a declarat că datele rămase pe server – inclusiv jurnalele operațiunilor de hacking reușite și mii de e-mailuri furate – au arătat că hackerii au compromis cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026, scrie Hotnews.ro.
Majoritatea victimelor atacurilor cibernetice erau din în Ucraina, dar au au fost vizate ținte și din România și alte țări NATO vecine cu Ucraina și din Balcani.
Operațiunea a fost descrisă pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel. Reuters a analizat datele de bază și publică pentru prima dată detalii despre atacurile cibernetice, inclusiv identitățile a peste o duzină de agenții și oficiali europeni compromiși.
Ctrl-Alt-Intel a explicat că greșeala făcută de hackeri a oferit o ocazie rară de a examina modul de funcționare al unei campanii de spionaj rusești.
Hackerii „au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă, a afirmat Ctrl-Alt-Intel.
Datele arată că, în afară de Ucraina, zeci de oficiali din țările vecine membre NATO au fost, de asemenea, victime ale atacurilor cibernetice.
În România, hackerii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, printre care se numără câteva aparținând bazelor aeriene NATO și cel puțin contul un ofițer militar de rang înalt.
Ministerul Apărării din România nu a răspuns solicitărilor, notează Reuters.
Routere domestice, inclusiv din România, atacate de Rusia
Este descris modul în care grupul a transformat routere din mediul domestic și din birourile mici (SOHO) în platforme de supraveghere la nivel de stat.
De ce este important Deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când Microsoft observă deturnarea DNS utilizată la scară largă pentru a susține direct atacurile de tip adversar-în-mijloc (AiTM) împotriva conexiunilor TLS.
Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard.
De asemenea interesant Deși nu s-a observat nicio compromitere a activelor deținute de Microsoft, cercetătorii consideră că operațiunea reprezintă o escaladare semnificativă a modului în care actorii statali transformă dispozitivele periferice neadministrate în arme și ar putea permite interceptarea activă la scară mai largă în viitor.
Cel puțin din august 2025, Forest Blizzard exploatează dispozitive de internet SOHO vulnerabile pentru a deturna traficul DNS, permițând colectarea pasivă a datelor de rețea, în timp ce ascunde operațiunile ulterioare în spatele unei infrastructuri legitime.
Această abordare îi permite să obțină vizibilitate în medii mai mari și mai bine protejate, fără a încălca direct rețelele corporative
Modul de acțiune este descris detaliat AICI
Recent, președintele Nicușor Dan a anunțat că FBI, împreună cu mai mulți parteneri, printre care SRI, a anunțat destructurarea unui atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale.
"Actori cibernetici asociați GRU, serviciul de informații al armatei ruse, colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă, deci, războiul hibrid împotriva țărilor occidentale și numai cine este de rea-credință nu vede asta. România trebuie să-și îmbunătățească securitatea cibernetică și să colaboreze în continuare cu partenerii occidentali", a spus șeful statului.
Departamentul american al justiției consemnează că ”Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”.
„Utilizarea abuzivă de către GRU a rețelelor din locuințele și companiile americane pentru operațiuni cibernetice malițioase rămâne o amenințare gravă și persistentă”, a declarat procurorul general adjunct pentru securitate națională, John A. Eisenberg. „Divizia de Securitate Națională va continua să folosească toate instrumentele disponibile pentru a detecta astfel de intruziuni și pentru a elimina actorii străini ostili din rețelele noastre”, a completat el.
„Serviciile de informații militare ruse au deturnat din nou echipamentele americanilor pentru a acapara date critice”, a declarat procurorul federal pentru Districtul de Est al Pennsylvaniei, David Metcalf.
„În fața agresiunii continue din partea adversarilor statali, guvernul SUA va răspunde la fel de ferm. Lucrând împreună cu FBI - și cu partenerii noștri din întreaga lume - suntem hotărâți să perturbăm și să expunem astfel de amenințări la adresa securității cibernetice a națiunii”, a spus el.
„Operațiunea Masquerade demonstrează angajamentul FBI de a identifica, expune și contracara eforturile guvernului rus de a compromite dispozitive americane, de a fura informații sensibile și de a viza infrastructuri critice”, a declarat directorul adjunct Brett Leatherman, din cadrul Diviziei Cibernetice a FBI.
”FBI și următorii parteneri emit acest anunț pentru a avertiza publicul și pentru a încuraja pe cei care asigură protecția rețelelor și proprietarii de dispozitive să ia măsuri pentru remedierea vulnerabilităților și reducerea zonei de atac a unor dispozitive similare de tip edge: Agenția Națională de Securitate a SUA (NSA) și parteneri internaționali din Canada, Cehia, Danemarca, Estonia, Finlanda, Germania, Italia, Letonia, Lituania, Norvegia, Polonia, Portugalia, România, Slovacia și Ucraina”, a precizat FBI.
CUM ACȚIONAU
Cel puțin din 2024, actori cibernetici ai Centrului Principal 85 pentru Servicii Speciale (85th GTsSS) din cadrul GRU – cunoscuți și sub denumirile APT28, Fancy Bear și Forest Blizzard – au colectat credențiale și au exploatat routere vulnerabile la nivel global, inclusiv compromițând routere TP-Link folosind vulnerabilitatea CVE-2023-50224, precizează FBI.
GRU a colectat parole, tokenuri de autentificare și informații sensibile, inclusiv e-mailuri și date de navigare web, care sunt în mod normal protejate prin criptare SSL (Secure Socket Layer) și TLS (Transport Layer Security).
”GRU a compromis fără discriminare un număr mare de victime din SUA și din întreaga lume, după care a filtrat utilizatorii afectați, vizând în special informații legate de domeniul militar, guvernamental și infrastructurile critice”, indică FBI.
