Oroszországhoz köthető hackerek feltörték a román légierő több tucatnyi e-mail-fiókját

Az akciót először a múlt hónapban írták le a Ctrl-Alt-Intel blogján.

A Reuters kielemezte az alapadatokat, és most először tett közzé részleteket a kibertámadásokról, beleértve több mint egy tucat kompromittált európai ügynök és tisztviselő személyazonosságát.

A Ctrl-Alt-Intel kifejtette, hogy a hackerek által elkövetett hiba ritka alkalmat nyújtott arra, hogy megvizsgálják egy orosz kémművelet működési módját.

fogalmazott a Ctrl-Alt-Intel.

Az adatok szerint Ukrajnán kívül a szomszédos NATO-tagállamokból is több tucat tisztviselő esett a kibertámadások áldozatul.

A román védelmi minisztérium nem válaszolt a nyilatkozat iránti megkeresésekre – jegyzi meg a Reuters.

Az új információk azt követően érkeztek, hogy múlt szerdán Nicușor Dan elnök és az Egyesült Államok Igazságügyi Minisztériuma bejelentette, hogy az FBI 15 ország számos intézményével, köztük a Román Hírszerző Szolgálattal (SRI) együttműködve felszámolt egy hosszú ideje tartó kibertámadást, amely több nyugati ország érzékeny infrastruktúráját érintette.

„Oroszország tehát folytatja a hibrid háborút a nyugati országok ellen, és csak az nem veszi ezt észre, aki rosszindulatú. Romániának javítania kell kiberbiztonságán, és továbbra is együtt kell működnie nyugati partnereivel” – mondta Nicușor Dan a múlt héten.

Az adatokból az is kiderül, hogy a kémek 27 e-mail fiókot kompromittáltak, amelyeket a Görög Nemzeti Védelmi Főparancsnokság, Görögország legfőbb katonai szerve kezel.

A feltört fiókok között voltak a görög katonai attasék Indiában és Boszniában, valamint a görög fegyveres erők mentálhigiénés központjának nyilvános e-mail fiókja.

A feltételezések szerint orosz beavatkozás miatt kapcsolták ki a műholdas navigációs szolgáltatásokat az Európai Bizottság elnöke, Ursula von der Leyen tavalyi bulgáriai látogatása előtt.

Az adatok azt is mutatják, hogy a kémek feltörték szerbiai tudósok és katonai tisztviselők fiókjait is, Szerbia pedig Oroszország hagyományos szövetségese.

A szerbiai Védelmi Minisztérium nem válaszolt a kommentárkérésre.

„A Moszkvával fennálló állítólagos szoros kapcsolat nem jelent garanciát az orosz kémkedés ellen” – állította Keir Giles, a londoni Chatham House gondolkodóközpont munkatársa, aki megvizsgálta a kibertámadás áldozatainak listáját.

Két kutató, akik függetlenül elemezték a Ctrl-Alt-Intel elemzését – Matthieu Faou, az ESET kiberbiztonsági cégtől, és Feike Hacquebord, a TrendAI kiberbiztonsági cégtől – egyetértettek abban, hogy a hackereknek kapcsolataik vannak Moszkvával.

Faou azonban azt mondta, hogy nem tudta igazolni a „Fancy Bear” részvételét, Hacquebord pedig vitatta azt.

A múlt heti bejelentésben az amerikai Igazságügyi Minisztérium és az FBI azt állította, hogy „legalább 2024 óta a GRU 85. Fő Különleges Szolgálati Központjának (85 GTsSS) kiberaktív szereplői – más néven APT28, Fancy Bear és Forest Blizzard néven is ismertek – hitelesítő adatokat gyűjtöttek és világszerte kihasználták a sebezhető útválasztókat, többek között a TP-Link útválasztókat is a CVE-2023-50224 sebezhetőség kihasználásával”.

– nyilatkozta Keir Giles.

Az adatok azt mutatták, hogy a hackerek behatoltak a Védelmi Ügyekre Szakosodott Ügyészség által kezelt fiókokba, amely egy háborús szerv, amelyet a korrupció elleni küzdelem és az ukrán hadseregben működő kémek leleplezése céljából hoztak létre.

Emellett célpontjuk volt az Ukrán Vagyonvisszaszerzési és -kezelési Ügynökség (ARMA) is, amely a bűnözőktől és az orosz kollaboránsoktól elkobzott vagyont felügyeli, valamint a kijevi Ügyészképző Központ.

A vizsgált adatok szerint az áldozatok között volt Jaroszlava Makszimenko is, aki akkoriban az ARMA vezetője volt.

Feltételezhető, hogy az oroszok adatokat loptak el a Korrupcióellenes Különleges Ügyészség (SAPO) legalább egy magas rangú alkalmazottjától.

Az intézmény Ukrajna néhány legismertebb korrupciós botrányát vizsgálta, köztük azt is, amely novemberben Andrij Jermak, Volodimir Zelenszkij elnök főtárgyalójának lemondásához vezetett.

Az ukrán informatikai vészhelyzeti beavatkozási csapat közölte, hogy tudomása van a kibertámadásról, és már kivizsgálta a Reuters által azonosított, kompromittált informatikai célpontok egy részét.