Балкани

Руски хакери атакуваха военни структури на Сърбия

23 март 2026, 16:49
Таралеж

Снимка: БТА

Следи от руската хакерска група "Fancy Bear", която американски и британски държавни институции свързват с руската служба за военно разузнаване ГРУ, са открити в сръбското Министерство на отбраната, Военната академия и Военномедицинската академия (ВМА)

Група от независими експерти по киберсигурност, Crtl Alt Intel, успя да получи достъп до папки на сървъра на руската хакерска група в средата на март, съобщиха те.

На сървърите, според данните, които са споделили, те са открили доказателства, че, наред с други неща, руски хакери са събирали данни от имейл адреси на три сръбски държавни институции.

Към публикуването на този текст, сръбското Министерство на отбраната не е отговорило на запитванията на Радио Свободна Европа (RFE) от четвъртък, 19 март, относно знанието, че данните на институцията са били компрометирани.

Кибератаката не е била докладвана на Комисаря за информация от обществено значение и защита на личните данни, както се изисква от сръбското законодателство.

В писмо до RSE, националният CERT на Република Сърбия, централният орган, отговорен за предотвратяването, защитата и реагирането на рискове за сигурността в информационните системи, също заявява, че не разполага с данни за тази атака.

В доклада на организацията "Crtl Alt Intel" обаче се посочва, че получените от тях данни показват, че е възможно да се идентифицират шест различни имейл акаунта на Министерството на отбраната, които са били хакнати, и където нападателите са успели да получат защита за допълнително потвърждение на приложението (т.нар. двуетапна проверка).

За четири акаунта те са настроили автоматично препращане на имейли към други адреси, което позволява на нападателите да наблюдават цялата входяща поща, според организацията.

Наличните данни не са датирани, така че не е възможно да се определи кога е извършена първоначалната атака.

"Това може да се е случвало от октомври 2024 г. Възможно е тези имейл адреси все още да са компрометирани и да препращат имейли към адресите "FancyBear" днес", каза пред RFE/RL Бен Фоланд (Foland), изследовател в организацията Ctrl Alt Intel.

Кой стои зад руската хакерска група "Fancy Bear"?

Fancy Bear е хакерска група, която е активна от поне 10 години. Те са известни с няколко имена, включително APT28 и Forest Blizzard.

Националният център за киберсигурност на британското правителство оценява в своето проучване, че "APT28 почти сигурно е част от Главното разузнавателно управление (ГРУ) на руския Генерален щаб".

Членове на тази хакерска група бяха директно идентифицирани като служители на ГРУ в обвинителния акт, повдигнат от Министерството на правосъдието на САЩ срещу 12 членове на ГРУ през 2018 г. за хакване на Националния комитет на Демократическата партия, Комитета на Демократическата партия за Конгреса и предизборната кампания на кандидата за президент на САЩ Хилари Клинтън.

Чрез сръбските институции към европейските военни структури

Проникването в информационни системи чрез т. нар. spear phishing е идентифицирано като един от начините, по които тази група действа.

Това е целенасочено съобщение, при което нападателят приспособява съобщението така, че да изглежда сякаш идва от доверено лице или организация, често използвайки личната информация на жертвата.

Целта е да се подмами жертвата да изтегли злонамерен файл и да ѝ се осигури достъп до системи, от които нападателите след това изтеглят съдържание от вътрешни сървъри.

Що се отнася до атаката срещу сръбската държавна институция, експерти от групата "Ctrl Alt Intel" идентифицираха шест компрометирани имейл акаунта в самото Министерство на отбраната и по един в системите на Военната академия и Военната академия.

Събрани са 248 контакта, които са комуникирали с тези имейл акаунти.

"От тези имейл адреси на сръбското Министерство на отбраната бяха осъществени контакти с други адреси, включително няколко в самото сръбско Министерство на отбраната, както и с европейски военни и отбранителни структури. FancyBear успя да извлече списъци с контакти от първоначалните си цели в сръбското Министерство на отбраната, за да получи тези данни", обяснява Бен Фоланд от организацията Crtl Alt Intel.

Интерес към Сърбия поради обвинения в износ на оръжие за Украйна

При някои атаки хакерската група Fancy Bear работи в сътрудничество с друга група, известна като Midnight Blizzard, което можеше да се види по време на криминалистичния анализ на хакерската атака срещу сръбската неправителствена организация „Белградски център за политика на сигурност“ миналата есен.

При тази атака хакери са получили достъп до част от архива и са прочели над 28 000 имейла на сръбска организация, която наблюдава реформите в сектора за сигурност от почти 25 години и участва активно в комуникацията с множество европейски институции.

Правителствата на Съединените щати и Великобритания свързват "Полунощната виелица" със Службата за външно разузнаване на Руската федерация (СВР).

Сърбия беше обект на интерес от страна на СВР през май и юни 2025 г., когато бяха публикувани две изявления с остри критики срещу твърденията, че Белград изнася боеприпаси за Украйна.