Skip to content
Траги од руската хакерска група „Фенси Бер“, која американските и британските државни институции ја поврзуваат со руската воено-разузнавачка служба ГРУ, се пронајдени во српското Министерство за одбрана, Воената академија и Воено-медицинската академија (ВМА), пишува денеска Радио Слободна Европа.
Група независни експерти за сајбер безбедност „Crtl Alt Intel“ успеала да пристапи до папки на серверот на руската хакерска група кон средината на март, рекоа тие.
На серверите, според податоците што ги споделиле, пронашле докази дека, меѓу другото, руските хакери собирале податоци од е-адреси од три српски државни институции.
До објавувањето на овој текст, Министерството за одбрана на Србија не одговорило на барањата на Радио Слободна Европа (RSE) од четврток, 19 март, во врска со сознанието дека податоците на институцијата се компромитирани.
Сајбер нападот не бил пријавен кај Комесарот за информации од јавно значење и заштита на лични податоци, како што е предвидено со српските закони.
Во писмо до RSE, националниот CERT на Република Србија, централното тело задолжено за превенција, заштита и одговор на безбедносни ризици во информациските системи, исто така наведува дека нема податоци за овој напад.
Во извештајот на организацијата „Crtl Alt Intel“, сепак, се наведува дека податоците што ги добиле покажуваат дека е можно да се идентификуваат шест различни е-поштенски сметки на Министерството за одбрана кои биле хакирани, а каде напаѓачите успеале да добијат заштита за дополнителна потврда на апликацијата (т.н. двостепена верификација).
За четири сметки, тие поставиле автоматско пренасочување на е-поштата кон други адреси, за да можат напаѓачите да ја следат целата дојдовна пошта, според оваа организација.
Достапните податоци не се со датумски печат, па затоа не е можно да се утврди кога се случил првичниот напад.
„Ова можеби се случувало од октомври 2024 година. Постои можност овие е-адреси да се сè уште компромитирани и сè уште да препраќаат е-пошта до адресите „FancyBear“ денес“, изјави за РСЕ/РЛ Бен Фоланд (Фоланд), истражувач во организацијата Ctrl Alt Intel.
Кој стои зад руската хакерска група „Fancy Bear“?
„Fancy Bear“ е хакерска група која е активна најмалку 10 години. Тие се познати под неколку имиња, меѓу другото, како „APT28“ или како „Forest Blizzard“.
Националниот центар за сајбер безбедност на британската влада проценува во истражувањето дека „„APT28“ речиси сигурно е дел од Генералната разузнавачка дирекција (GRU) на Генералштабот на Русија“.
Членовите на оваа хакерска група беа директно идентификувани како офицери на ГРУ во обвинението што Министерството за правда на САД го поднесе против 12 членови на ГРУ во 2018 година за хакирање на Демократскиот национален комитет, Демократскиот конгресен комитет и изборната кампања на претседателскиот кандидат на САД Хилари Клинтон.
Преку српските институции до европските воени структури
Влезот во информациските системи преку таканаречен spear phishing е идентификуван како еден од начините на кои функционира оваа група.
Станува збор за целно испраќање пораки во кои напаѓачот ја прилагодува пораката да изгледа како да доаѓа од доверливо лице или организација, честопати користејќи ги личните информации на жртвата.
Целта е жртвата да биде измамена да преземе злонамерна датотека и да обезбеди пристап до системи од кои напаѓачите потоа преземаат содржина од внатрешни сервери.
Кога станува збор за нападот врз српската државна институција, експертите од групата „Ctrl Alt Intel“ идентификуваа шест компромитирани е-поштенски сметки во самото Министерство за одбрана и по една од системите на Воената академија и Воената академија.
Собрани се 248 контакти со кои се комуницирало со овие е-поштенски сметки.
„Од овие е-адреси на српското Министерство за одбрана, контактирани се и други адреси, вклучувајќи неколку во рамките на самото српско Министерство за одбрана, но и европски воени и одбранбени структури. „FancyBear“ успеа да извлече контакт листи од своите првични цели во српското Министерство за одбрана за да ги добие овие податоци“, објаснува Бен Фоланд од организацијата „Crtl Alt Intel“.
Интерес за Србија поради обвинувања за извоз на оружје во Украина
Во некои напади, хакерската група „Fancy Bear“ работи во соработка со друга група позната како „Midnight Blizzard“, што можеше да се види за време на форензичката анализа на хакерскиот напад врз српската невладина организација Белградски центар за безбедносна политика минатата есен.
Во тој напад, хакерите пристапиле до дел од архивата и прочитале повеќе од 28.000 е-пораки на српска организација која речиси 25 години ги следи реформите во безбедносниот сектор и е активно вклучена во комуникацијата со бројни европски институции.
Владите на Соединетите Американски Држави и Велика Британија ја поврзуваат „Полноќната снежна бура“ со Службата за надворешно разузнавање на Руската Федерација (СВР).
Србија беше предмет на интерес на СВР во текот на мај и јуни 2025 година, кога беа издадени две соопштенија со остри критики поради тврдењата дека Белград извезува муниција во Украина.