Hackeri GRU au spart 67 de conturi ale Forțelor Aeriene Române

Hackeri legați de serviciul militar de informații al Rusiei (GRU) au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv câteva aparținând bazelor aeriene NATO și cel puțin un ofițer de rang înalt, conform unei investigații Reuters bazate pe date analizate de colectivul Ctrl-Alt-Intel, respectiv firma de securitate Hunt.io.

O greșeală operațională uriașă

Atacatorii, identificați ca APT28 (cunoscut și sub numele de Fancy Bear), au lăsat din greșeală deschis un server de comandă și control (C2), găzduit pe infrastructura Namecheap, cu directoare accesibile pe portul 8889 între 31 ianuarie și 11 martie 2026. Cercetătorii au descoperit astfel jurnalele operațiunilor și mii de e-mailuri furate.

„Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă”, a afirmat Ctrl-Alt-Intel.

284 de conturi compromise în 18 luni

Datele expuse arată că hackerii au compromis cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. Serverul conținea peste 2.800 de e-mailuri exfiltrate, 240 de seturi de credențiale cu date de autentificare cu doi factori (2FA), 140 de reguli de redirecționare persistentă a corespondenței și 11.500 de adrese de contact colectate.

Majoritatea victimelor erau procurori și anchetatori din Ucraina — peste 170 de conturi —, dar au fost vizate și ținte din Grecia, Bulgaria, Serbia și Macedonia de Nord, alături de România.

Phishing cu Google Docs fals și intercepție 2FA

Atacul a folosit e-mailuri de phishing care direcționau victimele către un domeniu fals Google Docs. După accesare, scripturi JavaScript malițioase extrăgeau credențialele și codurile de autentificare cu doi factori, iar un alt script crea reguli de redirecționare a e-mailurilor prin protocolul ManageSieve, asigurând accesul persistent la corespondență.

Legătura cu operațiunea FBI-SRI

Dezvăluirile vin la o săptămână după ce FBI, împreună cu agenții din 15 state — printre care Serviciul Român de Informații —, au anunțat destructurarea unei rețele de spionaj a GRU care exploata routere domestice pentru a fura parole și date sensibile.

„Actori cibernetici asociați GRU colectau informații militare, guvernamentale și legate de infrastructurile critice. Rusia continuă războiul hibrid împotriva țărilor occidentale”, a declarat președintele Nicușor Dan.

APT28 operează din cadrul Unității 26165 a GRU, potrivit evaluării Centrului Național de Securitate Cibernetică al Marii Britanii (NCSC). Gruparea este activă din 2004 și a fost implicată în atacuri cibernetice de amploare, inclusiv asupra Bundestag-ului german și Comitetului Național Democrat din SUA.

Ministerul Apărării din România nu a răspuns solicitărilor Reuters de a comenta.