Știri
Știri din categoria Securitate cibernetică
O campanie de spionaj cibernetic asociată Rusiei a compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, într-un val mai amplu de atacuri care a vizat Ucraina și alte state din regiune, potrivit unei analize citate de Agerpres. Datele, analizate de Reuters, indică o expunere operațională cu potențial impact asupra comunicațiilor militare, inclusiv în zone legate de infrastructura NATO.
Conform informațiilor, hackerii „având legături cu Rusia” au spart peste 170 de conturi de e-mail aparținând procurorilor și anchetatorilor din Ucraina în ultimele luni. În total, ar fi fost compromise cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026, pe baza unor jurnale de operațiuni și a mii de e-mailuri sustrase, rămase accidental expuse pe internet chiar de către atacatori.
În România, atacatorii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi care ar aparține unor baze aeriene NATO și cel puțin unui ofițer superior. Ministerul Apărării Naționale nu a răspuns solicitărilor de comentarii ale Reuters.
În același set de date, apar și alte ținte din state NATO și din Balcani, între care:
Datele despre campanie au fost descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce acestea au fost expuse accidental online. Grupul a descris situația drept o oportunitate rară de a vedea „mecanismele interne” ale unei operațiuni de spionaj, pe fondul unei erori operaționale a atacatorilor.
Ctrl-Alt-Intel a atribuit campania grupului Fancy Bear, nume asociat unei unități rusești de ciberspionaj militar. Doi cercetători care au examinat independent raportul — Matthieu Faou (ESET) și Feike Hacquebord (TrendAI) — sunt de acord că hackerii au legături cu Moscova, însă există rezerve privind identificarea exactă: Faou spune că nu poate confirma implicarea Fancy Bear, iar Hacquebord contestă atribuirea, sugerând o altă grupare rusă.
Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii ale Reuters, iar Moscova a negat în repetate rânduri implicarea în operațiuni de piraterie informatică împotriva altor țări.
Din perspectiva operațională, compromiterea unor conturi de e-mail din structuri militare poate însemna acces la corespondență internă, contacte și fluxuri de lucru, cu efecte potențiale asupra securității informațiilor și a coordonării instituționale. În cazul României, analiza indică inclusiv conturi asociate unor baze aeriene NATO, ceea ce ridică miza incidentului în context aliat.
Pe partea ucraineană, datele arată că au fost vizate instituții legate de anticorupție și contraspionaj, inclusiv Biroul procurorului specializat în domeniul apărării, ARMA și Centrul de formare a procurorilor din Kiev.
Echipa ucraineană de intervenție în caz de urgențe informatice a declarat că era la curent cu atacul și că investigase deja unele dintre breșele de securitate identificate de Reuters.
Recomandate
O breșă care a expus zeci de conturi ale Forțelor Aeriene Române arată cât de vulnerabile rămân comunicațiile instituționale în fața spionajului cibernetic , după ce datele unei campanii atribuite unor hackeri cu legături în Rusia au ajuns online „din greșeală”, potrivit HotNews , care citează o analiză Reuters bazată pe date descoperite de cercetători. Datele au fost găsite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce hackerii ar fi expus din eroare pe internet informații rămase pe un server. Potrivit aceleiași analize, jurnalele operațiunilor și mii de e-mailuri furate indică faptul că au fost compromise cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. România: cel puțin 67 de conturi ale Forțelor Aeriene, compromise În România, datele analizate arată compromiterea a cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Ministerul Apărării Naționale nu a răspuns solicitărilor de declarații, potrivit Reuters. Cercetătorii de la Ctrl-Alt-Intel au descris expunerea accidentală a datelor drept o „greșeală operațională uriașă”, care a oferit o ocazie rară de a vedea cum funcționează o campanie de spionaj. „Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă.” Ținte și în Grecia, Bulgaria și Serbia În afara Ucrainei, atacurile au vizat și țări NATO vecine cu Ucraina și state din Balcani, conform datelor: Grecia : 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene; între conturile compromise sunt menționați atașați militari greci din India și Bosnia, dar și o adresă de contact public a unui centru medical militar. Bulgaria : cel puțin patru căsuțe de e-mail ale unor oficiali locali din provincia Plovdiv. Serbia : conturi ale unor academicieni și oficiali militari; Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii. Keir Giles, de la think-tank-ul londonez Chatham House, citat în material, afirmă că nici măcar o relație apropiată cu Moscova nu ar fi o garanție împotriva spionajului rus. Cine este suspectat și ce rămâne neconfirmat Ctrl-Alt-Intel a atribuit campania grupului „Fancy Bear”, una dintre etichetele folosite pentru o echipă militară rusă de hackeri. Totuși, doi cercetători care au analizat independent concluziile au nuanțat atribuirea: Matthieu Faou (ESET) a spus că nu a putut verifica implicarea „Fancy Bear”, iar Feike Hacquebord (TrendAI) a contestat această implicare, deși ambii au fost de acord că atacatorii au legături cu Moscova. În paralel, în anunțul de săptămâna trecută menționat în articol, Departamentul de Justiție al SUA și FBI au indicat că, cel puțin din 2024, actori cibernetici asociați Centrului 85 al GRU (cunoscuți și ca APT28/Fancy Bear/Forest Blizzard) ar fi colectat date de autentificare și ar fi exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea unor routere TP-Link folosind vulnerabilitatea CVE-2023-50224. Context: anchete și cooperare internațională Informațiile apar după ce președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat o operațiune în care FBI, împreună cu instituții din 15 state (inclusiv SRI), ar fi destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, potrivit unui material HotNews anterior: HotNews . Potrivit SRI, citat în articol, GRU ar fi compromis „o gamă largă de entități” la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental. De ce contează Dincolo de numărul de conturi, miza este operațională: compromiterea e-mailurilor asociate unei structuri militare poate afecta fluxuri de lucru, expune contacte și proceduri și poate crea puncte de plecare pentru atacuri ulterioare (de tip „phishing” – mesaje înșelătoare care urmăresc furtul de parole). În acest caz, vizibilitatea asupra campaniei a venit nu dintr-o detectare internă, ci dintr-o eroare a atacatorilor, ceea ce ridică întrebări despre capacitatea de identificare timpurie a unor astfel de intruziuni. [...]
MApN spune că a centralizat securitatea cibernetică după compromiterea unor conturi de e-mail , o măsură cu impact operațional direct asupra modului în care instituția își administrează infrastructura IT, potrivit Antena 3 . Ministerul Apărării Naționale a confirmat că o grupare de hackeri „apropiată de Rusia” a compromis „câteva zeci” de adrese de e-mail ale Armatei Române. În același incident, pentru alte 30 de adrese „exploatarea nu a avut succes”, deoarece atacul a fost depistat, analizat și izolat în termen de 24 de ore, a transmis instituția, prin comunicat. Potrivit MApN, datele vizate au fost neclasificate și folosite în activități administrative curente, respectiv pentru vehicularea unor informații publice. Ministerul susține că „nu a existat posibilitatea accesării sau exfiltrării de date clasificate”. Ce s-a întâmplat și când a fost depistat incidentul MApN precizează că incidentul a fost depistat în luna martie 2025 și că a implicat compromiterea „a câtorva zeci” de adrese de e-mail, în timp ce alte 30 de conturi nu au fost compromise. „Incidentul a fost depistat, analizat de structurile competente și izolat în termen de 24h.” Măsura anunțată: securitatea cibernetică, preluată „integral la nivel central” Pentru a reduce riscul unor situații similare, MApN afirmă că, din martie 2026, componenta de securitate cibernetică a fost preluată „integral la nivel central”. Instituția mai spune că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor vulnerabilități. Contextul internațional invocat: informații atribuite Reuters Precizările MApN vin după ce Reuters a relatat despre un atac cibernetic atribuit hackerilor ruși, care ar fi vizat și alte state NATO, precum Grecia sau Bulgaria, și care s-ar fi desfășurat în perioada septembrie 2024 – martie 2026. Potrivit Reuters, în România ar fi fost compromise cel puțin 67 de conturi de e-mail administrate de Forțele Aeriene Române , inclusiv unele aparținând bazelor aeriene NATO și cel puțin unui ofițer militar superior. Tot Reuters notează că platforma Ctrl-Alt-Intel a atribuit atacurile grupării „Fancy Bear”. Aceeași sursă mai menționează că un atac ar fi compromis 27 de căsuțe poștale de e-mail gestionate de Statul Major General al Apărării Naționale Elene, inclusiv conturi ale unor atașați de apărare greci. [...]
MApN spune că breșa de e-mail a vizat doar date neclasificate , iar instituția a centralizat între timp componenta de securitate cibernetică, într-o mișcare cu impact operațional asupra modului în care își gestionează infrastructura IT, potrivit Agerpres . Ministerul Apărării Naționale a transmis că adresele de e-mail compromise, deținute de angajați ai instituției, nu conțineau date clasificate, ci erau folosite pentru activități administrative și pentru circulația unor informații publice. Incidentul, depistat în martie 2025, a presupus compromiterea a „câteva zeci” de adrese de e-mail. Pentru alte 30 de adrese, exploatarea nu a avut succes. MApN precizează că breșa a fost analizată de structurile competente și izolată în termen de 24 de ore. „Datele vizate au fost unele neclasificate, utilizate în mod curent pentru activități administrative și pentru vehicularea unor informații publice, astfel că nu a existat posibilitatea accesării sau exfiltrării de date clasificate.” Ce se schimbă în organizare: securitatea cibernetică, preluată „integral” la nivel central Pentru a limita apariția unor situații similare, MApN afirmă că, începând cu luna martie, partea de securitate cibernetică a fost preluată integral la nivel central. Ministerul mai arată că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor vulnerabilități. Context: campanie atribuită unor hackeri cu legături cu Rusia, documentată de Reuters În același context, Agerpres relatează o analiză Reuters despre o campanie în care hackeri cu legături cu Rusia ar fi spart peste 170 de conturi de e-mail aparținând unor procurori și anchetatori din Ucraina în ultimele luni. Datele ar fi fost expuse accidental online chiar de hackeri și descoperite de Ctrl-Alt-Intel, un colectiv de cercetători britanici și americani specializați în amenințări cibernetice. Potrivit Ctrl-Alt-Intel, datele rămase pe server – inclusiv jurnale ale operațiunilor de hacking reușite și mii de e-mailuri sustrase – ar indica compromiterea a cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026. Țintele ar fi fost în principal din Ucraina, dar și din țări NATO vecine și din Balcani. Ctrl-Alt-Intel a atribuit campania grupului Fancy Bear , însă doi cercetători care au examinat independent raportul au nuanțat concluzia: unul a spus că nu poate confirma implicarea Fancy Bear, iar celălalt a contestat atribuirea, sugerând că ar putea fi o altă grupare rusă de piraterie cibernetică. Moscova a negat în repetate rânduri implicarea în astfel de operațiuni, iar Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii, potrivit Reuters. [...]
Microsoft avertizează că routerele din case și birouri mici au devenit o verigă operațională pentru spionaj la scară largă , după ce un grup cu legături militare rusești le-ar fi folosit pentru a deturna trafic de internet și a obține vizibilitate în rețele mai bine protejate, potrivit Economedia . Miza pentru companii este una practică: atacatorii nu ar mai avea nevoie să „spargă” direct rețeaua corporativă pentru a colecta date sau a pregăti pași ulteriori, ci pot folosi infrastructura periferică neadministrată ( routere SOHO – „small office/home office”, adică echipamente din locuințe și birouri mici) ca punct de sprijin. Cum funcționează metoda descrisă de Microsoft Echipa de informații despre amenințări cibernetice a Microsoft arată că grupul Forest Blizzard a transformat routere nesigure în platforme de supraveghere „la nivel de stat”. Cel puțin din august 2025, grupul ar exploata dispozitive SOHO vulnerabile pentru a deturna traficul DNS (sistemul care „traduce” numele site-urilor în adrese tehnice), ceea ce permite colectarea pasivă a datelor de rețea și mascarea operațiunilor ulterioare în spatele unei infrastructuri legitime. Publicația notează că această abordare ar oferi actorului „vizibilitate” în medii mai mari și mai bine protejate, fără compromiterea directă a rețelelor corporative. De ce contează: escaladare pe o zonă greu de controlat Microsoft susține că, deși infiltrarea dispozitivelor SOHO nu este o noutate, este pentru prima dată când observă deturnarea DNS folosită la scară largă pentru a susține direct atacuri de tip „adversar-în-mijloc” (AiTM), adică situații în care atacatorul se interpune între utilizator și serviciul accesat, vizând conexiuni TLS (standardul care securizează traficul web). Microsoft a identificat peste 200 de organizații și 5.000 de dispozitive afectate de infiltrarea Forest Blizzard. Compania precizează că nu a observat compromiterea activelor deținute de Microsoft, însă cercetătorii consideră operațiunea o escaladare a modului în care actorii statali pot transforma dispozitive periferice neadministrate în instrumente de atac și că ar putea permite interceptare activă la scară mai largă în viitor. [...]
Un atac atribuit unui singur operator a folosit intensiv Claude și GPT‑4.1 pentru a scurta drastic timpii de compromitere ai unor instituții publice , într-o campanie care a vizat nouă agenții guvernamentale din Mexic și s-a soldat cu furtul a „sute de milioane” de înregistrări ale cetățenilor, potrivit TechRadar , care citează un raport al cercetătorilor de la Gambit . Miza pentru organizații este operațională: folosirea inteligenței artificiale generative (modele care pot produce text și cod) comprimă etapele atacului sub ferestrele obișnuite de detecție și răspuns. Ce susține raportul: AI folosită în planificare și execuție Conform Gambit, campania s-a derulat de la finalul lui decembrie 2025 până la mijlocul lui februarie 2026. Cercetătorii afirmă că atacatorul a folosit „Claude Code” și GPT‑4.1 pe tot parcursul, de la planificare la execuție, iar aproximativ 75% din activitatea de „remote command execution” (RCE – execuție de comenzi la distanță pe sisteme compromise) ar fi fost generată și rulată cu ajutorul Claude Code. Raportul mai indică folosirea unui instrument personalizat în Python, de 17.550 de linii, pentru a trimite date colectate de pe servere prin API-ul OpenAI. Rezultatul ar fi fost generarea a „2.597 de rapoarte de informații structurate” pe baza datelor din 305 servere interne. De ce contează: „cronologii comprimate” sub pragurile de detecție În analiza post-incident, Gambit spune că a identificat peste 400 de scripturi de atac personalizate și 20 de exploit-uri (cod care exploatează vulnerabilități) adaptate pentru 20 de CVE-uri (identificatori standard pentru vulnerabilități). AI ar fi fost folosită pentru a decide ce vulnerabilități merită exploatate și pentru a genera codul de exploatare. Un alt indicator al automatizării: atacatorul ar fi rulat peste 1.000 de solicitări (prompts), care au produs peste 5.300 de comenzi executate de AI, în 34 de sesiuni pe infrastructura reală a victimelor. Gambit formulează explicit efectul operațional: „Campania a comprimat cronologiile atacului sub ferestrele standard de detecție și răspuns.” Și, în aceeași logică, cercetătorii susțin că metoda a permis unui singur operator să proceseze volume de date care, în mod normal, ar fi necesitat o echipă, transformând rapid recunoașterea inițială în ținte mapate și exploit-uri adaptate „în ore, nu în zile”. Ce controale ar fi putut limita atacul Potrivit concluziilor Gambit, această abordare asistată de AI „reprezintă o evoluție semnificativă a capacității ofensive”, dar ar fi putut fi prevenită prin controale de securitate considerate standard, precum: aplicarea la timp a actualizărilor (patching); rotația credențialelor; segmentarea rețelei; detecție și răspuns la nivel de endpoint (EDR – instrumente care monitorizează și blochează activități suspecte pe stații și servere). Contextul mai larg, subliniat de raport, este că utilizarea AI în criminalitatea cibernetică nu este nouă, însă eficiența obținută aici ridică presiunea pe organizații să-și reducă timpii de reacție și să-și întărească disciplina de bază în managementul vulnerabilităților și al accesului. [...]
Rockstar Games confirmă că a fost accesată o cantitate limitată de date interne , după ce un grup de hackeri ar fi cerut bani și a amenințat cu publicarea informațiilor, potrivit Rockstar Games . Incidentul ar fi implicat acces neautorizat la serverele companiei „folosind un instrument terț”, în contextul unei breșe care ar avea legătură cu Snowflake, un serviciu de stocare și analiză în cloud folosit de unele organizații. Neowin notează că informațiile despre atac au apărut inițial pe forumuri din „dark web”, unde atacatorii ar fi susținut că au compromis instanțe Snowflake ale Rockstar. Declarația oficială a companiei, preluată de Kotaku , încearcă să limiteze impactul perceput al incidentului și să transmită că nu sunt afectate operațiunile sau utilizatorii: „Putem confirma că a fost accesată o cantitate limitată de informații ale companiei, fără caracter material, în legătură cu o breșă de date a unei terțe părți. Acest incident nu are niciun impact asupra organizației noastre sau asupra jucătorilor noștri.” Dincolo de formularea prudentă („informații fără caracter material”), Rockstar nu a detaliat ce tip de date ar fi fost accesate, iar nici atacatorii nu ar fi oferit dovezi publice complete privind conținutul. În același timp, mesajul companiei indică o linie de apărare uzuală în astfel de situații: încadrarea evenimentului ca incident provenit din lanțul de furnizori (terță parte), nu ca o compromitere directă a sistemelor critice interne. Neowin amintește că nu este prima situație de acest tip pentru Rockstar: în 2022, compania a confirmat un atac informatic, după ce au ajuns online materiale din dezvoltarea GTA VI, iar în 2023 autorul atacului a fost condamnat la internare pe termen nedeterminat într-un spital din Regatul Unit. Separat de incidentul actual, publicația mai notează că GTA VI este programat, în acest moment, pentru lansare pe 19 noiembrie 2026, pe PlayStation 5 și Xbox Series X|S, pe fondul unor amânări anterioare. [...]
