Rosyjscy hakerzy szpiegowali Ukrainę. Ujawniono skalę operacji

• Hakerzy mieli przejąć co najmniej 284 konta e-mail między wrześniem 2024 r. a marcem 2026 r., z czego ponad 170 należało do ukraińskich śledczych i prokuratorów.
• Kampania objęła również konta wojskowe i rządowe w Rumunii, Grecji, Bułgarii i Serbii.
• Badacze przypisują operację rosyjskim służbom, wskazując na powiązania z grupami działającymi na rzecz Kremla.

Jak podała agencja Reutera, informacje o kampanii zostały odkryte po tym, jak sami atakujący przypadkowo pozostawili w internecie dane dotyczące swoich operacji. Odkrycia dokonał kolektyw badaczy cyberzagrożeń Ctrl-Alt-Intel, złożony z ekspertów z Wielkiej Brytanii i USA.

Na pozostawionym serwerze znajdowały się m.in. logi skutecznych włamań oraz tysiące skradzionych wiadomości e-mail. Według analityków, umożliwiło to szczegółowe prześledzenie skali operacji. Jak wskazali badacze, hakerzy „popełnili ogromny błąd operacyjny” i „zostawili swoje drzwi wejściowe szeroko otwarte”.

Głównym celem byli ukraińscy śledczy i prokuratorzy

Największa część kampanii miała być wymierzona w ukraińskie instytucje odpowiedzialne za ściganie przestępczości, korupcji oraz wykrywanie osób współpracujących z Rosją.

Z ustaleń wynika, że atakujący uzyskali dostęp m.in. do kont prowadzonych przez Specjalistyczną Prokuraturę ds. Obrony, która została utworzona podczas wojny w celu zwalczania korupcji i identyfikacji rosyjskich agentów w strukturach wojskowych.

Celem ataków miała być również Agencja ds. Odzyskiwania i Zarządzania Aktywami (ARMA), zajmująca się nadzorem nad majątkiem przejętym przestępcom i osobom współpracującym z Rosją.

Na liście ofiar wysokiej rangi urzędnicy

Wśród osób, których konta miały zostać przejęte, znalazła się m.in. Jarosława Maksymenko, kierująca w czasie incydentu agencją ARMA.

Według ujawnionych danych hakerzy mieli także uzyskać dostęp do 44 skrzynek pracowników Centrum Szkoleniowego Prokuratury w Kijowie, w tym konta zastępcy dyrektora tej instytucji, Oleha Duki.

Atak miał objąć również co najmniej jednego wysokiego rangą pracownika Specjalnej Prokuratury Antykorupcyjnej (SAPO), prowadzącej dochodzenia w najpoważniejszych sprawach korupcyjnych na Ukrainie.

Operacja wykraczała poza Ukrainę

Choć głównym celem kampanii była Ukraina, ataki nie ograniczały się wyłącznie do tego kraju. 

Z ujawnionych danych wynika, że przejęte zostały również konta należące do podmiotów wojskowych i rządowych w innych państwach regionu.

Wśród krajów objętych operacją znalazły się:

• Rumunia,
• Grecja,
• Bułgaria,
• Serbia.

Sugeruje to, że operacja miała szerszy, regionalny charakter i mogła być częścią większej kampanii wywiadowczej prowadzonej przez rosyjskie służby.

Eksperci wskazują na rosyjskie powiązania

Ctrl-Alt-Intel przypisał operację grupie Fancy Bear (APT28) - jednej z najbardziej znanych rosyjskich grup, związanych z rosyjskim wywiadem wojskowym.

Część niezależnych ekspertów potwierdziła rosyjskie powiązania ataku, choć nie wszyscy zgodzili się co do dokładnej identyfikacji grupy odpowiedzialnej za włamania.

Ekspert Chatham House Keir Giles ocenił, że celem rosyjskich służb mogło być zdobycie wiedzy o prowadzonych śledztwach dotyczących rosyjskich agentów oraz pozyskanie materiałów kompromitujących na temat kluczowych ukraińskich urzędników.

To może być tylko fragment większej operacji

Analitycy ostrzegają, że ujawnione dane mogą stanowić jedynie niewielki wycinek znacznie większej kampanii szpiegowskiej prowadzonej przez Rosję.

Ich zdaniem skala operacji sugeruje systemowe działania wywiadowcze wymierzone w struktury państwowe i bezpieczeństwa państw regionu, prowadzone w ramach długofalowej strategii destabilizacji i zdobywania przewagi informacyjnej.