Групата меѓународно поврзани независни експерти за сајбер безбедност „Цтрл алт интел“ успеале, како што тврдат, да пристапат до фолдери на сервер на руската хакерска група кон средината на март.
На серверите, според податоците што ги споделија, нашле докази дека, меѓу другото, руски хакери собирале податоци од електронски адреси од трите српски државни институции.
До објавувањето на овој текст, Министерството за одбрана на Србија не одговорило на барањата на Радио Слободна Европа од четвртокот, 19 март, во врска со сознанието дека податоците на институцијата се компромитирани.
Сајбер нападот не бил пријавен кај Комесарот за информации од јавно значење и заштита на лични податоци, како што е предвидено со српските закони.
Во писмо до РСЕ националниот ЦЕРТ на Република Србија, централното тело задолжено за превенција, заштита и одговор на безбедносни ризици во информациските системи, исто така навело дека нема податоци за овој напад.
Во извештајот на организацијата „Цтрл алт интел“, сепак, се наведува дека добиените податоци покажуваат дека е можно да се идентификуваат шест различни имејл сметки на Министерството за одбрана кои биле хакирани, а каде напаѓачите успеале да добијат заштита за дополнителна потврда на апликацијата (таканаречена двостепена верификација).
За четири сметки поставиле автоматско пренасочување на е-поштата кон други адреси, така што напаѓачите можат да ја следат целата дојдовна пошта, според оваа организација.
Достапните податоци не се означени со датум, па затоа не е можно да се утврди кога се случил првичниот напад.
„Ова можеби се случувало од октомври 2024 година. Постои можност овие е-адреси да се сè уште компромитирани и сè уште да препраќаат е-пошта до адреси на „Фенси беар“ денес“, изјави за РСЕ Бен Фоланд, истражувач во организацијата „Цтрл алт интел“.
Кој стои зад руската хакерска група „Фенси беар“?
„Фенси беар“ е хакерска група која е активна најмалку 10 години. Тие се познати под неколку имиња, меѓу другото, како „АПТ28“ или како „Форест близард“, како што во своите бази ги води технолошката компанија Мајкрософт.
Британскиот државен Национален центар за сајбер безбедност проценува во истражувањето дека „„АПТ28“ речиси сигурно е дел од Главната дирекција за разузнавање (ГРУ) на Генералштабот на Русија“.
Членовите на оваа хакерска група биле директно идентификувани како офицери на ГРУ во обвинението што Министерството за правда на Соединетите Американски Држави го поднело против 12 членови на ГРУ во 2018 година за хакирање на Демократскиот национален комитет, Демократскиот конгресен комитет и изборната кампања на кандидатката за претседател на САД Хилари Клинтон.
Како што е наведено на веб-страницата на Мајкрософт, оваа руска хакерска група обично напаѓа влади, невладини организации, ИТ компании и универзитети, а напади се регистрирани во Америка, Австралија, Канада, Индија, Украина, Израел и Јапонија.
Преку српските институции до европските воени структури
Влезот во информациските системи преку таканаречен спиар фишинг (spear phishing) е идентификуван како еден од начините на кои функционира оваа група.
Станува збор за насочено испраќање пораки во кое напаѓачот ја прилагодува пораката да изгледа како да доаѓа од доверливо лице или организација, честопати користејќи ги личните информации на жртвата.
Целта е жртвата да биде измамена за да преземе злонамерен фајл и да обезбеди пристап до системи од кои напаѓачите потоа преземаат содржина од внатрешни сервери.
Кога станува збор за нападот врз српската државна институција, експертите од групата „Цтрл алт интел“ идентификувале шест компромитирани е-поштенски сметки во самото Министерство за одбрана и по една од системите на Воената академија и Воената академија.
Собрани се 248 контакти со кои се комуницирало со овие е-поштенски сметки.
„Од овие е-поштенски адреси на српското Министерство за одбрана, контактирани се и други адреси, вклучувајќи неколку во рамките на самото српско Министерство за одбрана, но и европски воени и одбранбени структури. „Фенси беар“ успеале да извлечат листи со контакти од своите првични цели во српското Министерство за одбрана за да ги добијат овие податоци“, објаснува Бен Фоланд од организацијата „Цтрл алт интел“.
Интересот за Србија поради тврдењата за извоз на оружје во Украина
Во некои напади, хакерската група „Фенси беар“ работи во соработка со друга група позната како „Миднајт близард“, што можело да се види за време на форензичката анализа на хакерскиот напад врз српската невладина организација Белградски центар за безбедносна политика во текот на есента минатата година, тврди РСЕ.
Во тој напад хакерите пристапиле до дел од архивата и прочитале повеќе од 28.000 е-пораки на српската организација која ги следи реформите во безбедносниот сектор речиси 25 години и е активно вклучена во комуникацијата со бројни европски институции.
Владите на САД и Британија ја поврзуваат „Миднајт близард“ со Службата за надворешно разузнавање на Руската Федерација (СВР).
Србија била предмет на интерес на СВР во текот на мај и јуни 2025 година, кога беа издадени две соопштенија со остри критики поради тврдењата дека Белград извезува муниција во Украина.
Кои податоци ги изнесе руската служба?
„Според информациите добиени од СВР, српските одбранбени компании, и покрај декларираната „неутралност“ на Белград, продолжуваат да му испорачуваат муниција на Киев. Едноставна шема што вклучува фалсификувани сертификати за крајни корисници и земји-посредници служи како параван за овие антируски активности“, објави руската служба на 28 мај 2025 година.
Во соопштението се спомнуваат и земји-посредници, како и српски компании кои извезуваат, како што се Југоипорт СДПР, Зенитпром, Крушик, Софаг, Рејер ДТИ, Слобода, Први партизан.
Српскиот претседател Александар Вучиќ потоа изјави дека разговарал за извозот на српско оружје во Украина со рускиот лидер Владимир Путин за време на неговата посета на Москва на 9 мај и дека негирал некои од тврдењата на СВР.
„Формиравме работна група, заедно со руските партнери, со цел да ги утврдиме фактите. Некои од кажаните работи не се вистинити“, рече тогаш Вучиќ.
Еден месец подоцна, руската СВР објави уште едно соопштение.
„Според добиените информации, Крушик од Ваљево неодамна продал неколку големи серии комплети за склопување ракети од 122 мм на чешката компанија Поличске стројирни. Одбранбената компанија Елинг од Лозница ја снабдувала бугарската компанија ЕМКО со комплети за производство на истите ракети, како и мини за минофрлачи од 120 мм“, изјави руската служба на 23 јуни 2025 година.
Претседателот на Србија потоа одговори со сопирање на извозот на муниција од Србија.
„Бидејќи видовме дека таа (муницијата) се појави во Украина, се појави на двете страни, и двете се жалат. Ако можев нешто да променам, можам да го направам ова само на овој начин – да речеме, целата муниција некое време само во нашите касарни“, кажа Вучиќ.
Прецизни податоци за тоа какво оружје и воена опрема и во какви количества Србија извезува во Украина, Израел и други земји не се јавно достапни, а надлежното министерство не објави годишни извештаи за издадените дозволи за извоз на својата веб-страница во последните години.
Кој сè бил цел на нападот?
„Фенси беар“ успешно компромитирале владини и воени субјекти низ Украина, Романија, Бугарија, Грција, Србија и Македонија – вклучувајќи е-адреси поврзани со четири земји-членки на НАТО, според извештајот на „Цтрл алт интел“.
На серверите на хакерската група беа пронајдени повеќе од 2.800 е-пораки извлечени од владини и воени бази на податоци. Украдени се повеќе од 240 групи кориснички податоци, вклучувајќи лозинки и двофакторски кодови за верификација, а секоја дојдовна е-пошта од 140 адреси била тивко пренасочена кон е-пошта контролирана од напаѓачите, според овој извештај.
Повеќе од 11.500 е-адреси биле извлечени од адресарите на жртвите, што ја мапирало целата комуникациска мрежа, додаваат од „Цтрл алт интел“.
