Lovitură cibernetică în Ucraina: procurori și instituții, compromise de hackeri ruși. Eroarea care a expus întreaga operațiune de spionaj

Procurori, anchetatori și instituții anticorupție din Ucraina au fost principalele ținte ale unei operațiuni de hacking atribuite Rusiei. Atacul a vizat și țări NATO, precum România, unde au fost sparte zeci de conturi administrate de Forțele Aeriene și de baze NATO.

Hackerii ruși au spart zeci de conturi foto: arhivă, adevărul

O investigație Reuters, bazată pe date descoperite accidental online de cercetători în securitate cibernetică, arată că hackerii au compromis cel puțin 284 de conturi de e-mail între septembrie 2024 și martie 2026.

Cele mai multe victime sunt din Ucraina, unde au fost sparte peste 170 de conturi aparținând procurorilor, anchetatorilor și instituțiilor implicate în lupta anticorupție și în identificarea colaboratorilor ruși.

Potrivit datelor analizate, printre instituțiile vizate se numără Parchetul Specializat în domeniul Apărării, organism creat în contextul războiului pentru combaterea corupției și depistarea spionilor din armata ucraineană, Agenția pentru Recuperarea și Administrarea Activelor (ARMA), dar și Centrul de Formare al Procurorilor din Kiev.

Printre victime s-au aflat și oficiali de rang înalt. Hackerii au compromis inclusiv contul Yaroslavei Maksymenko, care conducea la acel moment ARMA, precum și inbox-urile a 44 de angajați ai Centrului de Formare al Procurorilor, inclusiv pe cel al directorului adjunct Oleg Duka.

De asemenea, atacatorii ar fi obținut date și din contul unui angajat superior al Parchetului Specializat Anticorupție (SAPO), instituție care a investigat unele dintre cele mai importante scandaluri de corupție din Ucraina.

România și alte state NATO, în vizor

Operațiunea nu s-a limitat la Ucraina. Datele arată că hackerii au vizat și mai multe state NATO și din Balcani.

În România, ar fi fost compromise cel puțin 67 de conturi de e-mail administrate de Forțele Aeriene Române, inclusiv unele aparținând bazelor aeriene NATO și cel puțin unui ofițer militar superior.

În Grecia, atacatorii au spart 27 de conturi gestionate de Statul Major al Apărării Naționale, inclusiv adrese folosite de atașați militari din India și Bosnia.

În Bulgaria, au fost compromise cel puțin patru conturi aparținând unor oficiali locali din provincia Plovdiv, zonă în care anul trecut au existat acuzații privind interferențe rusești asupra sistemelor de navigație prin satelit.

Datele mai arată că au fost vizați și oficiali militari și cadre universitare din Serbia, aliat tradițional al Moscovei.

Eroarea care a expus întreaga operațiune de spionaj cibernetic

Campania a fost descoperită după ce hackerii au făcut, potrivit cercetătorilor, o eroare operațională majoră, lăsând expus pe internet un server care conținea jurnale ale operațiunilor reușite și mii de e-mailuri furate.

Descoperirea a fost făcută de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice.

Platforma a atribuit atacurile grupării „Fancy Bear”, una dintre cele mai cunoscute structuri de hacking asociate serviciului militar de informații al Rusiei, GRU.

Doi experți independenți în securitate cibernetică, de la companiile ESET și TrendAI, au confirmat legătura operațiunii cu Moscova, deși există opinii diferite privind implicarea exactă a Fancy Bear.

„Și-au lăsat ușa din față larg deschisă”, au transmis cercetătorii, referindu-se la serverul expus accidental.

Dezvăluirile vin la scurt timp după ce serviciile de informații și structurile de aplicare a legii din SUA, Canada, Ucraina, România, Germania, Italia și Polonia au anunțat destructurarea unei alte operațiuni de spionaj atribuite GRU, în care erau folosite routere Wi-Fi slab protejate.

Reacția MApN: incidentul a fost detectat și izolat în 24 de ore

Ministerul Apărării Naționale a transmis că incidentul de securitate care a vizat infrastructura de e-mail a fost depistat în martie 2025, fiind vorba despre compromiterea a „câtorva zeci de adrese de e-mail”, în timp ce pentru alte 30 de adrese tentativa de exploatare nu a avut succes.

Potrivit MApN, incidentul a fost identificat, analizat de structurile competente și izolat în termen de 24 de ore.

Instituția precizează că au fost vizate date neclasificate, folosite pentru activități administrative curente și pentru circulația unor informații publice, astfel că „nu a existat posibilitatea accesării sau exfiltrării de date clasificate”.

Pentru a limita apariția unor situații similare, MApN a anunțat că securitatea cibernetică a fost preluată integral la nivel central începând cu martie 2026, iar infrastructurile sunt monitorizate constant pentru eliminarea eventualelor vulnerabilități.