Хакери РФ атакували міноборони Сербії. Але відомство не зафіксувало атаку офіційно

У Сербії в міністерстві оборони, військовій академії та військово-медичній академії виявили сліди діяльності російського хакерського угруповання Fancy Bear, яке західні спецслужби пов’язують з російською військовою розвідкою ГРУ. Водночас сербські державні органи не зафіксували цю атаку відповідно до вимог законодавства. Про це повідомляє балканська служба Радіо Свобода.

За даними групи міжнародно об’єднаних незалежних експертів з кібербезпеки Ctrl Alt Intel, у середині березня вони отримали доступ серверів Fancy Bear. Там вони знайшли докази того, що російські хакери серед іншого збирали дані з електронних скриньок трьох сербських державних установ.

Водночас міністерство оборони Сербії не відповіло на запити Радіо Свобода щодо можливої компрометації даних, а національний CERT (центральний орган, відповідальний за запобігання та захист від ризиків в інформаційних системах) заявив, що не має інформації про цей інцидент.

Кіберексперти виявили шість зламаних електронних акаунтів міноборони Сербії, де зловмисникам вдалось отримати навіть коди для двофакторної верифікації. У чотирьох акаунтах хакери налаштували автоматичне пересилання листів на інші адреси, що дозволяло хакерам відстежувати всю вхідну пошту. І ще два зламані акаунти експерти ідентифікували у військовій академії та військово-медичній академії. Було зібрано 248 контактів, з якими велася комунікація.

“З цих адрес контактували з іншими адресами як усередині самого сербського відомства, так і з європейськими військовими та оборонними структурами. Fancy Bear вдалося витягти списки контактів, щоб розширити масштаб атак”, – повідомив дослідник Ctrl Alt Intel Бен Фолланд.

Наявні дані не мають позначок дати, тому встановити точний час початку атаки неможливо. Експерти припускають, що атака могла тривати щонайменше з жовтня 2024 року, а окремі акаунти можуть залишатися скомпрометованими й досі.

Група Fancy Bear (також відома як APT28 або Forest Blizzard) активна щонайменше 10 років, її пов’язують з Головним розвідувальним управлінням (ГРУ) Генерального штабу РФ. Також іноді група працює спільно з групою Midnight Blizzard (яку пов’язують зі Службою зовнішньої розвідки РФ).

Основним методом атак Fancy Bear є спірфішинг (spear phishing) – цілеспрямоване розсилання повідомлень, що видаються листами від довірених осіб. Мета – змусити жертву завантажити шкідливий файл. За даними Microsoft, група зазвичай атакує уряди, неурядові організації, IT-компанії та університети в США, Канаді, Україні, Ізраїлі та Японії.

У 2018 році міністерство юстиції США висунуло звинувачення 12 офіцерам ГРУ як членам цієї групи за злам Національного комітету Демократичної партії та передвиборчої кампанії Гілларі Клінтон. 

Як пише медіа, Сербія стала предметом особливого інтересу російських спецслужб у травні та червні 2025 року, коли Росія виступила з різкою критикою через заяви про те, що Белград експортує боєприпаси до України.