Cum au ajuns hackerii ruși să spargă zeci de mailuri ale armatei române

O eroare de securitate făcută chiar de atacatori a scos la iveală o amplă operațiune de spionaj cibernetic care a vizat Ucraina, România și alte state din regiune. Potrivit unor date analizate de Reuters și cercetătorilor de la Ctrl-Alt-Intel, grupări de hackeri cu legături în Rusia au compromis în ultimele luni sute de conturi de e-mail, inclusiv zeci care aparțin Forțelor Aeriene Române. Cazul este cu atât mai grav cu cât printre ținte s-au aflat instituții militare, procurori, anchetatori și oficiali din state NATO aflate în proximitatea războiului din Ucraina.

Ancheta a devenit posibilă după ce atacatorii au lăsat expuse pe internet date sensibile despre propria activitate. Jurnale ale operațiunilor, informații despre conturi compromise și mii de e-mailuri furate au rămas accesibile pe un server, oferind o imagine rară asupra modului în care funcționează o campanie de spionaj cibernetic atribuită Rusiei. Cercetătorii au descris această scăpare drept o greșeală uriașă, comparabilă cu lăsarea „ușii din față larg deschise”.

România, printre țintele importante ale operațiunii

Datele analizate arată că România nu a fost o victimă colaterală, ci una dintre țintele clare ale campaniei. Cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române ar fi fost compromise, inclusiv adrese asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Informația ridică semne de întrebare serioase despre nivelul de protecție al comunicațiilor electronice din zona militară și despre vulnerabilitățile exploatate de atacatori.

Importanța acestor ținte nu poate fi ignorată. Într-un context regional tensionat, orice acces neautorizat la conturi asociate structurilor aeriene sau unor baze cu relevanță NATO poate avea implicații strategice. Chiar dacă amploarea exactă a informațiilor exfiltrate nu este clară public, simplul fapt că astfel de conturi au fost compromise arată interesul constant al actorilor ruși pentru infrastructura militară și guvernamentală din statele vecine Ucrainei.

Vezi și:

Ce autostrăzi ar putea fi inaugurate până la finalul anului 2026. Peste 250 de kilometri de drum de mare viteză sunt așteptați

Cazul vine și într-un moment sensibil. Recent, autoritățile americane, alături de parteneri din 15 state, au anunțat destructurarea unei operațiuni informatice prelungite care a vizat infrastructuri sensibile din Occident. Serviciul Român de Informații a transmis atunci că GRU, serviciul de informații militare al Rusiei, a compromis la nivel global o gamă largă de entități, inclusiv din România, cu accent pe domeniile militar și guvernamental.

Greșeala atacatorilor a deschis o fereastră rară

În mod obișnuit, operațiunile cibernetice de spionaj lasă puține urme accesibile publicului. De această dată însă, tocmai neglijența celor implicați a permis investigatorilor să reconstruiască o parte importantă din activitatea rețelei. Jurnalele descoperite pe server au indicat că, între septembrie 2024 și martie 2026, au fost compromise cel puțin 284 de căsuțe de e-mail.

Cea mai mare parte a țintelor se află în Ucraina, unde au fost vizate instituții cu rol esențial în combaterea corupției, în investigarea trădării și în administrarea activelor confiscate de la colaboratori ai Rusiei. Au fost compromise inclusiv conturi asociate Parchetului Specializat în Domeniul Apărării, Agenției de Recuperare și Gestionare a Activelor din Ucraina și Centrului de Formare a Procurorilor din Kiev. Alegerea acestor ținte sugerează că interesul atacatorilor nu era doar militar, ci și politic, judiciar și informativ.

Vezi și:

Datele unor utilizatori Vimeo au fost expuse după un atac informatic legat de Anodot

„Nimic nu se compară cu Luvrul”: atac cibernetic la celebrul muzeu italian Uffizi, din Florența

Această scurgere accidentală de date oferă și o lecție importantă pentru serviciile de securitate din Europa. Chiar și grupările considerate sofisticate pot greși, iar o singură breșă în infrastructura lor poate devoala metode, priorități și rețele de interes. În același timp, amploarea operațiunii arată cât de intens rămâne frontul nevăzut al războiului hibrid purtat de Rusia în regiune.

Suspiciunile duc spre APT28, dar dezbaterea rămâne deschisă

Cercetătorii de la Ctrl-Alt-Intel au legat campania de gruparea cunoscută sub numele de Fancy Bear, asociată de-a lungul anilor cu operațiuni rusești de hacking. Denumirea apare frecvent în rapoarte occidentale și este legată de APT28, un actor cibernetic acuzat în repetate rânduri de atacuri împotriva instituțiilor occidentale. Cu toate acestea, nu toți specialiștii consultați au mers până la a confirma fără rezerve această atribuire.

Doi experți independenți au fost de acord că există legături clare cu Moscova, însă au nuanțat concluziile privind identitatea exactă a grupării. Această prudență este firească în domeniul securității cibernetice, unde atribuirea directă este adesea complicată. Totuși, contextul general, natura țintelor și informațiile făcute publice recent de Departamentul de Justiție al SUA și FBI întăresc ideea că Rusia continuă să folosească instrumente de spionaj digital împotriva instituțiilor europene.

Pentru România, semnalul de alarmă este cât se poate de clar. Atacurile nu mai vizează doar infrastructuri abstracte, ci conturi concrete, aparținând unor oameni și structuri esențiale pentru apărare. Într-o regiune în care războiul convențional se dublează de ani buni cu atacuri cibernetice, consolidarea securității digitale nu mai este doar o măsură tehnică, ci o necesitate strategică.

VIDEO | Roboții prezentați ca mândria tech a Rusiei s-au făcut de râs. Umanoizi care nu știau cum îi cheamă și „fotbaliști” mai mult pe tușă decât pe teren