Hackerii ruși ar fi reușit să acceseze ilegal peste 11.000 de emailuri

Zeci de e-mailuri folosite de angajați de la Forețele Aeriene Române, inclusiv unele asociate unor baze militare de la noi din țară, au fost compromise de hackeri. Atacul cibernetic face parte dintr-o campanie de sabotaj coordonată de Serviciul de Informații Externe al Rusiei, iar ținta principală este Ucraina - arată o analiză a jurnaliștilor Reuters. Totul a ieșit la suprafață după ce hackerii Au expus accidental informații sensibile pe internet.

O platformă de securitate cibernetică a descoperit prima operațiunea rusească Roundish, după ce a fost analizat un folder al hackerilor cu date colectate din ianuarie 2026. Un al doilea folder avea să fie descoperit ulterior. În spatele operațiunii stă Fancy Bear – o grupare de hackeri care ar aparține GRU – Serviciul extern de informații al Rusiei. Descoperirile sunt șocante – spun analiștii: hackerii ruși ar fi reușit să acceseze ilegal peste 11.000 de emailuri.

Analiza arată că în România, hackerii ruși au spart 67 de căsuțe poștale virtuale care aparțin Forțelor Aeriene Române, inclusiv asociate unor baze militare. Printre emailurile compromise are fi și cel al unui ofițer militar superior. Ministerul Apărării confirmă un incident cibernetic care s-ar fi întâmplat în martie 2025, care ar fi dus la compromiterea a zeci de emailuri.

30 de emailuri au fost protejate, spune Ministerul Apărării Naționale. Ținta principală a hackerilor ruși era Ucraina, unde au accesat ilegal peste 170 de emailuri ale unor procurori implicați în combaterea corupției din sistemul militar. I-ar fi interesat anchetele care vizau spioni ruși.

În Grecia, atacurile au vizat 28 de emailuri folosite de Statul Major al Apărării.

În Bulgaria, au fost vizați oficiali locali din regiunea Plovdiv, locul în care a fost bruiat avionul în care se afla șefa Comisiei Europene Ursula Von der Leyen. Bulgaria a negat anul trecut că Rusia s-ar fi aflat în spatele bruiajului semnalului GPS al avionului care o transporta pe președinta Comisiei Europene.

MApN: Adresele de e-mail compromise de hackeri având legături cu Rusia nu conțineau date clasificate

Ministerul Apărării Naționale a transmis, miercuri, că adresele de e-mail deținute de angajați ai instituției și care au fost compromise de hackeri având legături cu Rusia nu conțineau date clasificate, ci erau utilizate pentru activități administrative și pentru vehicularea unor informații publice.

Potrivit unei informări a MApN, incidentul de securitate a fost depistat în luna martie 2025 și a presupus compromiterea câteva zeci de adrese de email. Pentru alte 30 adrese de email exploatarea nu a avut succes. Incidentul a fost depistat, analizat de structurile competente și izolat în termen de 24 de ore, a indicat sursa citată.

'Datele vizate au fost unele neclasificate, utilizate în mod curent pentru activități administrative și pentru vehicularea unor informații publice, astfel că nu a existat posibilitatea accesării sau exfiltrării de date clasificate', a explicat ministerul.

Pentru a limita apariția unor situații similare în viitor, partea de securitate cibernetică a fost preluată integral la nivel central începând cu luna martie, a menționat MApN, care a precizat că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor eventuale vulnerabilități.

Hackeri având legături cu Rusia au spart peste 170 de conturi de e-mail aparținând unor procurori și anchetatori din Ucraina în ultimele luni, conform unor date analizate de Reuters. Campania arată cum spionii Moscovei îi țin sub observație pe oficialii ucraineni însărcinați cu eradicarea corupției și îndepărtarea colaboratorilor ruși din structurile puterii ucrainene, dar această grupare a pătruns și în conturi ale unor instituții din România, Grecia și Bulgaria, conform analizei.

Date despre această campanie au fost expuse accidental pe internet chiar de hackerii respectivi și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice. Ctrl-Alt-Intel a declarat că datele rămase pe server - inclusiv jurnale ale operațiunilor de hacking reușite și mii de e-mailuri sustrase - relevă că hackerii au compromis cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026.

Cele mai multe ținte sunt din Ucraina, altele din țări NATO vecine și din Balcani. Operațiunea a fost descrisă pentru prima dată luna trecută într-o postare pe blogul Ctrl-Alt-Intel. Agenția Reuters a analizat datele subiacente și a publicat pentru prima dată detalii despre respectivele atacuri cibernetice, inclusiv despre 12 entități și oficiali europeni vizați.

Ctrl-Alt-Intel afirmă că această eroare a oferit o ocazie rară de a analiza mecanismele interne ale unei campanii rusești de spionaj.

Hackerii au comis, pur și simplu, o greșeală operațională monumentală, relevă Ctrl-Alt-Intel: 'Și-au lăsat ușa de la intrare larg deschisă'.

Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii din partea Reuters. Moscova a negat în repetate rânduri că ar fi implicată în operațiuni de piraterie informatică împotriva altor țări.

Ctrl-Alt-Intel a atribuit această campanie de hacking grupului Fancy Bear, numele sub care este cunoscută o unitate rusească de ciberspionaj militar. Doi cercetători care au examinat independent raportul Ctrl-Alt-Intel - Matthieu Faou de la firma de securitate cibernetică ESET și Feike Hacquebord de la TrendAI - sunt de acord că acești hackerii au legături cu Moscova. Cu toate acestea, Faou a precizat că nu poate confirma implicarea Fancy Bear, iar Hacquebord a contestat că ar fi vorba de Fancy Bear, sugerând că mai degrabă este o altă grupare rusească de piraterie cibernetică.

Probabil că forțele de ordine ucrainene au fost vizate de hackeri fie pentru ca partea rusă să fie cu un pas înaintea anchetatorilor care încercau să-i demaște pe spionii Moscovei, fie pentru a aduna informații potențial compromițătoare despre înalți oficiali de la Kiev, a declarat Keir Giles, cercetător asociat think tank-ului Chatham House din Londra, care a analizat lista țintelor.

Datele arată că hackerii au pătruns în conturile gestionate de Biroul procurorului specializat în domeniul apărării din Ucraina, un organism creat în contextul războiului pentru a combate corupția și a demasca spionii din cadrul armatei ucrainene. De asemenea, aceștia au vizat Agenția ucraineană pentru recuperarea și gestionarea activelor (ARMA), care supraveghează activele confiscate de la infractori și colaboratori ruși, precum și Centrul de formare a procurorilor cu sediul la Kiev.

Printre țintele vizate figurează Iaroslava Maksimenko, care conducea ARMA la acea vreme. La Centrul de formare a procurorilor, documentele dezvăluie că hackerii au accesat conturile de e-mail a 44 de angajați, inclusiv pe cel al directorului adjunct al centrului, Oleg Duka. De asemenea, rușii ar fi sustras date de la cel puțin un oficial superior din cadrul Parchetului Special Anticorupție (SAPO), care a investigat unele dintre cele mai importante scandaluri de corupție din Ucraina, unul dintre acestea ducând la demisia negociatorului-șef pentru pace al președintelui Volodimir Zelenski, Andrii Iermak, în noiembrie trecut. Iermak a fost șeful administrației prezidențiale de la Kiev și al doilea om în stat după Zelenski, potrivit media ucrainene.

Echipa ucraineană de intervenție în caz de urgențe informatice a declarat că era la curent cu atacul cibernetic și că investigase deja unele dintre breșele de securitate identificate de Reuters.

Atacul cibernetic descoperit de Ctrl-Alt-Intel reprezintă doar o 'mică parte din activitatea întregului ecosistem de spionaj aliniat Rusiei', a declarat Faou, cercetătorul de la ESET. Datele arată că hackerii au pătruns în inbox-ul spitalului central din Pokrovsk, un nod feroviar asupra căruia Rusia încearcă să-și consolideze controlul, precum și inbox-ul aparținând comisiei de finanțe a orașului respectiv.

Datele arată că zeci de oficiali din țările vecine membre NATO au fost, de asemenea, victime ale unor atacuri cibernetice legate de această grupare.

În România, hackerii au compromis cel puțin 67 de conturi de e-mail ale Forțelor aeriene române, printre care mai multe aparținând unor baze aeriene ale NATO și cel puțin al unui ofițer superior. Ministerul Apărării din România nu a răspuns solicitărilor de comentarii din partea Reuters.

Datele arată că spionii au compromis 27 de inbox-uri gestionate de Statul Major General al armatei din Grecia, cel mai înalt organism militar al țării. Printre cei vizați de atacurile cibernetice s-au numărat atașații militari greci din India și Bosnia, precum și Centrul de sănătate mentală al armatei elene. Statul Major General grec nu a răspuns la o listă detaliată de întrebări din partea Reuters.

În Bulgaria, hackerii au pătruns în cel puțin patru inbox-uri aparținând unor oficiali locali din regiunea Plovdiv, unde se presupune că interferențele rusești ar fi dezactivat serviciile de navigație prin satelit înaintea unei vizite a președintei Comisiei Europene, Ursula von der Leyen, anul trecut. Oficialii bulgari nu au răspuns la solicitările de comentarii din partea agenției britanice de presă.

Hackerii au piratat de asemenea conturile unor cadre universitare și oficiali militari din Serbia, un aliat tradițional al Rusiei, mai scrie Reuters.

Peste 11.000 de emailuri furate din căsuțe poștale guvernamentale și militare

Potrivit ultimelor informații, platformă de securitate (Hunt.io) a descoperit prima operațiunea „Roundish”, pe 11 martie 2026, dupa ce au analizat un folder al hackerilor din ianuarie 2026. Agenția Națională pt Securitate Cibernetică din U.K. atribuie campania hackerilor grupului Fancy Bear - aceiași care au fost descoperiți că infestau ruterele casnice acum o saptamana.

Fancy Bear - cunoscuti si cu alte denumiri - aparțin de GRU. Codul sursă al sistemului de comandă și control (C2) folosit de FancyBear, împreună cu alte componente malware, jurnale de activitate, date furate de la victime și indicii privind alte operațiuni desfășurate.

Conform siteului ctraltintel.com, cercetătorii au descoperit peste 11.000 de emailuri furate din căsuțe poștale guvernamentale și militare. Peste 240 de seturi de credențiale compromise, inclusiv parole și secrete pentru autentificare în doi pași (2FA)

Peste 140 de reguli Sieve care redirecționau în mod ascuns toate emailurile primite către o căsuță controlată de atacatori. Peste 11.500 de adrese de email colectate din agendele victimelor, permițând cartografierea completă a rețelelor de comunicare.