Știri
Știri din categoria Securitate cibernetică
Gruparea Fancy Bear (APT28) a exploatat o vulnerabilitate recent dezvăluită din Microsoft Office în atacuri cibernetice care au vizat organizații din Ucraina și din Uniunea Europeană, potrivit Infosecurity Magazine. Avertizarea a fost publicată pe 2 februarie de CERT-UA, structura națională ucraineană de răspuns la incidente informatice.
Conform CERT-UA, atacatorii au folosit CVE-2026-21509, o vulnerabilitate cu severitate ridicată (scor CVSS 3.1 de 7,8) care afectează mai multe versiuni de Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 și Microsoft 365 Apps for Enterprise. Microsoft a făcut publică problema pe 26 ianuarie, descriind-o ca o „dependență excesivă de intrări neîncredere într-o decizie de securitate” în Microsoft Office, care poate permite ocolirea unor măsuri de protecție pentru OLE (Object Linking and Embedding, mecanism de integrare a obiectelor între aplicații) și COM (Component Object Model, tehnologie Windows pentru componente software).
CERT-UA spune că a identificat pe 29 ianuarie un fișier Word numit „Consultation_Topics_Ukraine(Final).doc”, care conținea cod de exploatare pentru CVE-2026-21509, iar metadatele indicau că documentul a fost creat în dimineața zilei de 27 ianuarie, la o zi după anunțul Microsoft. Documentul era construit în jurul unor „consultări” ale COREPER (Comitetul Reprezentanților Permanenți ai UE) privind situația din Ucraina, un detaliu care sugerează o tentativă de creștere a credibilității mesajului în fața țintelor instituționale.
Lanțul tehnic descris de CERT-UA pornește de la deschiderea documentului în Microsoft Office, care declanșează o conexiune către o resursă externă prin WebDAV (un protocol folosit pentru accesarea și gestionarea fișierelor la distanță), urmată de descărcarea unui fișier mascat ca scurtătură Windows (LNK) cu cod malițios. Într-un caz separat, CERT-UA a primit în aceeași zi rapoarte despre e-mailuri care pretindeau că provin de la Centrul Hidrometeorologic Ucrainean (UkrHMC) și care includeau atașamentul „BULLETEN_H.doc”; mesajele ar fi fost trimise către peste 60 de adrese, în principal din zona autorităților executive centrale ale Ucrainei.
„Având în vedere întârzierea probabilă (sau imposibilitatea) utilizatorilor de a actualiza Microsoft Office ori de a aplica măsurile de securitate recomandate, se așteaptă ca numărul atacurilor cibernetice care exploatează această vulnerabilitate să crească”, a notat CERT-UA.
După compromitere, analiza CERT-UA indică pași de persistență și execuție care includ crearea unei biblioteci DLL („EhStoreShell.dll”) camuflate ca extensie legitimă, generarea unui fișier imagine cu „shellcode” (cod injectat pentru execuție) și modificări în registrul Windows pentru deturnarea încărcării prin COM (așa-numitul „COM hijacking”). În final, pe sistem ar fi lansat Covenant, un cadru de comandă și control bazat pe .NET, folosit în mod legitim în exerciții de tip red teaming, dar reutilizat frecvent în atacuri. CERT-UA mai atrage atenția că infrastructura de comandă și control ar folosi serviciul de stocare Filen, recomandând blocarea sau monitorizarea atentă a conexiunilor către nodurile acestuia. În plus, la finalul lui ianuarie 2026 ar fi fost identificate încă trei documente cu același exploit, care au vizat organizații din state UE.
În privința măsurilor, CERT-UA îndeamnă la aplicarea recomandărilor din ghidul Microsoft, în special a celor legate de configurări în registrul Windows, iar Microsoft a confirmat că a observat exploatare „în mediul real”. Compania recomandă instalarea actualizărilor pentru Office 2016 și 2019, în timp ce pentru Office 2021 și versiunile ulterioare protecția ar fi activată automat printr-o schimbare „din partea serviciului”, cu condiția repornirii aplicațiilor Office. Detaliile tehnice și pașii de remediere sunt în avizul Microsoft, iar alerta CERT-UA a fost publicată la acest link: CERT-UA.
Recomandate
O campanie de spionaj cibernetic asociată Rusiei a compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române , într-un val mai amplu de atacuri care a vizat Ucraina și alte state din regiune, potrivit unei analize citate de Agerpres . Datele, analizate de Reuters, indică o expunere operațională cu potențial impact asupra comunicațiilor militare, inclusiv în zone legate de infrastructura NATO. Conform informațiilor, hackerii „având legături cu Rusia” au spart peste 170 de conturi de e-mail aparținând procurorilor și anchetatorilor din Ucraina în ultimele luni. În total, ar fi fost compromise cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026, pe baza unor jurnale de operațiuni și a mii de e-mailuri sustrase, rămase accidental expuse pe internet chiar de către atacatori. Ce arată datele despre țintele din România și regiune În România, atacatorii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi care ar aparține unor baze aeriene NATO și cel puțin unui ofițer superior. Ministerul Apărării Naționale nu a răspuns solicitărilor de comentarii ale Reuters. În același set de date, apar și alte ținte din state NATO și din Balcani, între care: Grecia : 27 de inbox-uri gestionate de Statul Major General al armatei; între cei vizați s-au numărat atașați militari greci din India și Bosnia, precum și Centrul de sănătate mentală al armatei elene. Bulgaria : cel puțin patru inbox-uri ale unor oficiali locali din regiunea Plovdiv. Serbia : conturi ale unor cadre universitare și oficiali militari, potrivit Reuters. Cum a ieșit la iveală campania și cine o atribuie Datele despre campanie au fost descoperite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce acestea au fost expuse accidental online. Grupul a descris situația drept o oportunitate rară de a vedea „mecanismele interne” ale unei operațiuni de spionaj, pe fondul unei erori operaționale a atacatorilor. Ctrl-Alt-Intel a atribuit campania grupului Fancy Bear , nume asociat unei unități rusești de ciberspionaj militar. Doi cercetători care au examinat independent raportul — Matthieu Faou (ESET) și Feike Hacquebord (TrendAI) — sunt de acord că hackerii au legături cu Moscova, însă există rezerve privind identificarea exactă: Faou spune că nu poate confirma implicarea Fancy Bear, iar Hacquebord contestă atribuirea, sugerând o altă grupare rusă. Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii ale Reuters, iar Moscova a negat în repetate rânduri implicarea în operațiuni de piraterie informatică împotriva altor țări. De ce contează: risc operațional pentru instituții de apărare Din perspectiva operațională, compromiterea unor conturi de e-mail din structuri militare poate însemna acces la corespondență internă, contacte și fluxuri de lucru, cu efecte potențiale asupra securității informațiilor și a coordonării instituționale. În cazul României, analiza indică inclusiv conturi asociate unor baze aeriene NATO, ceea ce ridică miza incidentului în context aliat. Pe partea ucraineană, datele arată că au fost vizate instituții legate de anticorupție și contraspionaj, inclusiv Biroul procurorului specializat în domeniul apărării, ARMA și Centrul de formare a procurorilor din Kiev. Echipa ucraineană de intervenție în caz de urgențe informatice a declarat că era la curent cu atacul și că investigase deja unele dintre breșele de securitate identificate de Reuters. [...]
MApN spune că a centralizat securitatea cibernetică după compromiterea unor conturi de e-mail , o măsură cu impact operațional direct asupra modului în care instituția își administrează infrastructura IT, potrivit Antena 3 . Ministerul Apărării Naționale a confirmat că o grupare de hackeri „apropiată de Rusia” a compromis „câteva zeci” de adrese de e-mail ale Armatei Române. În același incident, pentru alte 30 de adrese „exploatarea nu a avut succes”, deoarece atacul a fost depistat, analizat și izolat în termen de 24 de ore, a transmis instituția, prin comunicat. Potrivit MApN, datele vizate au fost neclasificate și folosite în activități administrative curente, respectiv pentru vehicularea unor informații publice. Ministerul susține că „nu a existat posibilitatea accesării sau exfiltrării de date clasificate”. Ce s-a întâmplat și când a fost depistat incidentul MApN precizează că incidentul a fost depistat în luna martie 2025 și că a implicat compromiterea „a câtorva zeci” de adrese de e-mail, în timp ce alte 30 de conturi nu au fost compromise. „Incidentul a fost depistat, analizat de structurile competente și izolat în termen de 24h.” Măsura anunțată: securitatea cibernetică, preluată „integral la nivel central” Pentru a reduce riscul unor situații similare, MApN afirmă că, din martie 2026, componenta de securitate cibernetică a fost preluată „integral la nivel central”. Instituția mai spune că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor vulnerabilități. Contextul internațional invocat: informații atribuite Reuters Precizările MApN vin după ce Reuters a relatat despre un atac cibernetic atribuit hackerilor ruși, care ar fi vizat și alte state NATO, precum Grecia sau Bulgaria, și care s-ar fi desfășurat în perioada septembrie 2024 – martie 2026. Potrivit Reuters, în România ar fi fost compromise cel puțin 67 de conturi de e-mail administrate de Forțele Aeriene Române , inclusiv unele aparținând bazelor aeriene NATO și cel puțin unui ofițer militar superior. Tot Reuters notează că platforma Ctrl-Alt-Intel a atribuit atacurile grupării „Fancy Bear”. Aceeași sursă mai menționează că un atac ar fi compromis 27 de căsuțe poștale de e-mail gestionate de Statul Major General al Apărării Naționale Elene, inclusiv conturi ale unor atașați de apărare greci. [...]
MApN spune că breșa de e-mail a vizat doar date neclasificate , iar instituția a centralizat între timp componenta de securitate cibernetică, într-o mișcare cu impact operațional asupra modului în care își gestionează infrastructura IT, potrivit Agerpres . Ministerul Apărării Naționale a transmis că adresele de e-mail compromise, deținute de angajați ai instituției, nu conțineau date clasificate, ci erau folosite pentru activități administrative și pentru circulația unor informații publice. Incidentul, depistat în martie 2025, a presupus compromiterea a „câteva zeci” de adrese de e-mail. Pentru alte 30 de adrese, exploatarea nu a avut succes. MApN precizează că breșa a fost analizată de structurile competente și izolată în termen de 24 de ore. „Datele vizate au fost unele neclasificate, utilizate în mod curent pentru activități administrative și pentru vehicularea unor informații publice, astfel că nu a existat posibilitatea accesării sau exfiltrării de date clasificate.” Ce se schimbă în organizare: securitatea cibernetică, preluată „integral” la nivel central Pentru a limita apariția unor situații similare, MApN afirmă că, începând cu luna martie, partea de securitate cibernetică a fost preluată integral la nivel central. Ministerul mai arată că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor vulnerabilități. Context: campanie atribuită unor hackeri cu legături cu Rusia, documentată de Reuters În același context, Agerpres relatează o analiză Reuters despre o campanie în care hackeri cu legături cu Rusia ar fi spart peste 170 de conturi de e-mail aparținând unor procurori și anchetatori din Ucraina în ultimele luni. Datele ar fi fost expuse accidental online chiar de hackeri și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice. Potrivit Ctrl-Alt-Intel, datele rămase pe server – inclusiv jurnale ale operațiunilor de hacking reușite și mii de e-mailuri sustrase – ar indica compromiterea a cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026. Țintele ar fi fost în principal din Ucraina, dar și din țări NATO vecine și din Balcani. Ctrl-Alt-Intel a atribuit campania grupului Fancy Bear , însă doi cercetători care au examinat independent raportul au nuanțat concluzia: unul a spus că nu poate confirma implicarea Fancy Bear, iar celălalt a contestat atribuirea, sugerând că ar putea fi o altă grupare rusă de piraterie cibernetică. Moscova a negat în repetate rânduri implicarea în astfel de operațiuni, iar Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii, potrivit Reuters. [...]
O breșă care a expus zeci de conturi ale Forțelor Aeriene Române arată cât de vulnerabile rămân comunicațiile instituționale în fața spionajului cibernetic , după ce datele unei campanii atribuite unor hackeri cu legături în Rusia au ajuns online „din greșeală”, potrivit HotNews , care citează o analiză Reuters bazată pe date descoperite de cercetători. Datele au fost găsite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce hackerii ar fi expus din eroare pe internet informații rămase pe un server. Potrivit aceleiași analize, jurnalele operațiunilor și mii de e-mailuri furate indică faptul că au fost compromise cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. România: cel puțin 67 de conturi ale Forțelor Aeriene, compromise În România, datele analizate arată compromiterea a cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Ministerul Apărării Naționale nu a răspuns solicitărilor de declarații, potrivit Reuters. Cercetătorii de la Ctrl-Alt-Intel au descris expunerea accidentală a datelor drept o „greșeală operațională uriașă”, care a oferit o ocazie rară de a vedea cum funcționează o campanie de spionaj. „Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă.” Ținte și în Grecia, Bulgaria și Serbia În afara Ucrainei, atacurile au vizat și țări NATO vecine cu Ucraina și state din Balcani, conform datelor: Grecia : 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene; între conturile compromise sunt menționați atașați militari greci din India și Bosnia, dar și o adresă de contact public a unui centru medical militar. Bulgaria : cel puțin patru căsuțe de e-mail ale unor oficiali locali din provincia Plovdiv. Serbia : conturi ale unor academicieni și oficiali militari; Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii. Keir Giles, de la think-tank-ul londonez Chatham House, citat în material, afirmă că nici măcar o relație apropiată cu Moscova nu ar fi o garanție împotriva spionajului rus. Cine este suspectat și ce rămâne neconfirmat Ctrl-Alt-Intel a atribuit campania grupului „Fancy Bear”, una dintre etichetele folosite pentru o echipă militară rusă de hackeri. Totuși, doi cercetători care au analizat independent concluziile au nuanțat atribuirea: Matthieu Faou (ESET) a spus că nu a putut verifica implicarea „Fancy Bear”, iar Feike Hacquebord (TrendAI) a contestat această implicare, deși ambii au fost de acord că atacatorii au legături cu Moscova. În paralel, în anunțul de săptămâna trecută menționat în articol, Departamentul de Justiție al SUA și FBI au indicat că, cel puțin din 2024, actori cibernetici asociați Centrului 85 al GRU (cunoscuți și ca APT28/Fancy Bear/Forest Blizzard) ar fi colectat date de autentificare și ar fi exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea unor routere TP-Link folosind vulnerabilitatea CVE-2023-50224. Context: anchete și cooperare internațională Informațiile apar după ce președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat o operațiune în care FBI, împreună cu instituții din 15 state (inclusiv SRI), ar fi destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, potrivit unui material HotNews anterior: HotNews . Potrivit SRI, citat în articol, GRU ar fi compromis „o gamă largă de entități” la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental. De ce contează Dincolo de numărul de conturi, miza este operațională: compromiterea e-mailurilor asociate unei structuri militare poate afecta fluxuri de lucru, expune contacte și proceduri și poate crea puncte de plecare pentru atacuri ulterioare (de tip „phishing” – mesaje înșelătoare care urmăresc furtul de parole). În acest caz, vizibilitatea asupra campaniei a venit nu dintr-o detectare internă, ci dintr-o eroare a atacatorilor, ceea ce ridică întrebări despre capacitatea de identificare timpurie a unor astfel de intruziuni. [...]
Un atac atribuit unui singur operator a folosit intensiv Claude și GPT‑4.1 pentru a scurta drastic timpii de compromitere ai unor instituții publice , într-o campanie care a vizat nouă agenții guvernamentale din Mexic și s-a soldat cu furtul a „sute de milioane” de înregistrări ale cetățenilor, potrivit TechRadar , care citează un raport al cercetătorilor de la Gambit . Miza pentru organizații este operațională: folosirea inteligenței artificiale generative (modele care pot produce text și cod) comprimă etapele atacului sub ferestrele obișnuite de detecție și răspuns. Ce susține raportul: AI folosită în planificare și execuție Conform Gambit, campania s-a derulat de la finalul lui decembrie 2025 până la mijlocul lui februarie 2026. Cercetătorii afirmă că atacatorul a folosit „Claude Code” și GPT‑4.1 pe tot parcursul, de la planificare la execuție, iar aproximativ 75% din activitatea de „remote command execution” (RCE – execuție de comenzi la distanță pe sisteme compromise) ar fi fost generată și rulată cu ajutorul Claude Code. Raportul mai indică folosirea unui instrument personalizat în Python, de 17.550 de linii, pentru a trimite date colectate de pe servere prin API-ul OpenAI. Rezultatul ar fi fost generarea a „2.597 de rapoarte de informații structurate” pe baza datelor din 305 servere interne. De ce contează: „cronologii comprimate” sub pragurile de detecție În analiza post-incident, Gambit spune că a identificat peste 400 de scripturi de atac personalizate și 20 de exploit-uri (cod care exploatează vulnerabilități) adaptate pentru 20 de CVE-uri (identificatori standard pentru vulnerabilități). AI ar fi fost folosită pentru a decide ce vulnerabilități merită exploatate și pentru a genera codul de exploatare. Un alt indicator al automatizării: atacatorul ar fi rulat peste 1.000 de solicitări (prompts), care au produs peste 5.300 de comenzi executate de AI, în 34 de sesiuni pe infrastructura reală a victimelor. Gambit formulează explicit efectul operațional: „Campania a comprimat cronologiile atacului sub ferestrele standard de detecție și răspuns.” Și, în aceeași logică, cercetătorii susțin că metoda a permis unui singur operator să proceseze volume de date care, în mod normal, ar fi necesitat o echipă, transformând rapid recunoașterea inițială în ținte mapate și exploit-uri adaptate „în ore, nu în zile”. Ce controale ar fi putut limita atacul Potrivit concluziilor Gambit, această abordare asistată de AI „reprezintă o evoluție semnificativă a capacității ofensive”, dar ar fi putut fi prevenită prin controale de securitate considerate standard, precum: aplicarea la timp a actualizărilor (patching); rotația credențialelor; segmentarea rețelei; detecție și răspuns la nivel de endpoint (EDR – instrumente care monitorizează și blochează activități suspecte pe stații și servere). Contextul mai larg, subliniat de raport, este că utilizarea AI în criminalitatea cibernetică nu este nouă, însă eficiența obținută aici ridică presiunea pe organizații să-și reducă timpii de reacție și să-și întărească disciplina de bază în managementul vulnerabilităților și al accesului. [...]
Rockstar Games confirmă că a fost accesată o cantitate limitată de date interne , după ce un grup de hackeri ar fi cerut bani și a amenințat cu publicarea informațiilor, potrivit Rockstar Games . Incidentul ar fi implicat acces neautorizat la serverele companiei „folosind un instrument terț”, în contextul unei breșe care ar avea legătură cu Snowflake, un serviciu de stocare și analiză în cloud folosit de unele organizații. Neowin notează că informațiile despre atac au apărut inițial pe forumuri din „dark web”, unde atacatorii ar fi susținut că au compromis instanțe Snowflake ale Rockstar. Declarația oficială a companiei, preluată de Kotaku , încearcă să limiteze impactul perceput al incidentului și să transmită că nu sunt afectate operațiunile sau utilizatorii: „Putem confirma că a fost accesată o cantitate limitată de informații ale companiei, fără caracter material, în legătură cu o breșă de date a unei terțe părți. Acest incident nu are niciun impact asupra organizației noastre sau asupra jucătorilor noștri.” Dincolo de formularea prudentă („informații fără caracter material”), Rockstar nu a detaliat ce tip de date ar fi fost accesate, iar nici atacatorii nu ar fi oferit dovezi publice complete privind conținutul. În același timp, mesajul companiei indică o linie de apărare uzuală în astfel de situații: încadrarea evenimentului ca incident provenit din lanțul de furnizori (terță parte), nu ca o compromitere directă a sistemelor critice interne. Neowin amintește că nu este prima situație de acest tip pentru Rockstar: în 2022, compania a confirmat un atac informatic, după ce au ajuns online materiale din dezvoltarea GTA VI, iar în 2023 autorul atacului a fost condamnat la internare pe termen nedeterminat într-un spital din Regatul Unit. Separat de incidentul actual, publicația mai notează că GTA VI este programat, în acest moment, pentru lansare pe 19 noiembrie 2026, pe PlayStation 5 și Xbox Series X|S, pe fondul unor amânări anterioare. [...]
