Траги од руската хакерска група „Фенси Бер“, која американските и британските државни институции ја поврзуваат со руската воено-разузнавачка служба ГРУ, се пронајдени во електронски адреси поврзани со домејни на македонската влада, Армијата на Северна Македонија и Министерството за одбрана, објави групата на меѓународно поврзани независни експерти за сајбер безбедност „Crtl Alt Intel“.
Во извештајот на „Crtl Alt Intel“ се наведува дека „Фенси Бер“ успешно компромитирал владини и воени субјекти низ Северна Македонија, Украина, Романија, Бугарија, Грција и Србија - вклучувајќи и електронски адреси поврзани со четири земји-членки на НАТО.
„На 28 февруари 2024 година беше објавено дека Северна Македонија се приклучи на западните санкции против Русија и испратила оружје и опрема во Украина. Тоа ја прави Северна Македонија веродостојна, иако со помала значајност, да се вклопува во групата жртви поврзани со државите што ја поддржуваат Украина“, наведува „Crtl Alt Intel“.
Во извештајот пишуваше дека и мејл со домејн gov.mk бил компромитиран од руската хакерска група.
РСЕ се обрати до Владата со прашања дали нејзина електронска пошта била предмет на хакирање и дали ваков напад е пријавен во Националниот центар за одговор на компјутерски инциденти МКД-ЦИРТ.
Одговорот на Владата е дека нема официјален сајбер инцидент, туку само споменување на е-поштенски адреси кои се сметаат за јавно достапни податоци, а не за лозинки или слични доверливи информации.
„Во веста, односно извештајот се референцираат адреси за е-пошта, но не и креденцијали, кои хакерите континуирано ги собираат (често од јавно достапни извори) за потенцијални идни напади. Согласно тоа, како и во рамки на надлежностите на Генерален секретаријат на Влада не е пријавен инцидент до Националниот ЦИРТ. Владата презема континуирани активности за подобрување на сајбер безбедноста и проактивно ги следи сите информации“, одговорија од Владата за РСЕ.
Еден ден откако и ги посочивме на Владата наодите во извештајот, делот кој се однесува на компромитирана владина електронска пошта изчезна од првично публикуваната верзија.
Бен Фоланд, истражувач во организацијата „Ctrl Alt Intel" за РСЕ објасни дека станува збор за грешка објавена на блогот.
„Северна Македонија беше силно цел на „Фенси Бер“, тие дури го регистрираа доменот govmk.com за да се претставуваат како MK за употреба во фишинг кампањи. Од дневникот на жртвите, ја видовме жртвата со доменот mail.govmk.com. Наведовме дека имаше 1 жртва од горенаведениот домен, иако ова не беше вистинска жртва од Северна Македонија. Видовме жртви на MK преку прокси, на друго место во кампањата“, рече Фоланд.
Но, во извештајот останаа наведените седум адреси, од кои пет се поврзуваат со Армијата на Северна Македонија (mil.mk) и две со Министерството за одбрана (mod.gov.mk). Образложението е дека тие се извлечени од „контакт листата“ што припаѓа на вистински жртви на тој напад.
„Тoa прикажува дека македонски е-адреси се извлечени од „контакт листата“ на други вистински жртви. Тие доаѓаат од грчкото Министерство за одбрана“, појасни Фоланд.
Од македонското Министерство за одбрана велат дека состојбата со безбедноста на домејните на Министерството за одбрана и Армијата се следат 24 часовно од стручни лица.
„До овој момент Министерството за одбрана и Армијата немаат податок за оттекнување на податоци од мејловите на министерството и Армијата. Податокот дека се идентификувани мејлови на домејните mil.mk и mod.gov.mk не мора да значи дека истите биле нападнати. Во споменатиот текст не е наведена конкретна кампања, туку за пронајдени фолдери на хакерска група. Како институции кои се одговорни на ова поле, особено по почетокот на војната во Украина, во континуитет се подложни на сајбер напади (неовластен пристап, фишинг напади и сл.) во обид да се пристапи до соодветни податоци. За заштита од ваков вид напади за вработените се вршат редовни обуки заедно со колегите од другите државни институции, како и со помош на сојузничките земји“, одговорија од Министерството за одбрана.
Од Министерството за дигитална трансформација велат дека во спомнатите е-маил адреси во извештајот не се наведуваат компромитирани креденцијали или докази за неовластен пристап до владини системи. Објаснуваат дека вакви адреси често се агрегираат од јавно достапни извори или претходни несистемски протекувања и се користат за потенцијални идни фишинг-кампањи.
„Со оглед дека не е потврден инцидент, не се евидентирани директни последици врз информациските системи, интегритетот на податоците или достапноста на услугите. Во извештајот, домените mil.mk и mod.gov.mk се појавуваат во контекст на „address book theft“, што значи дека станува збор за контакт-адреси извлечени од адресари, а не за компромитирани кориснички сметки. Сепак, сите релевантни информации од отворени извори се следат и се анализираат во континуитет како дел од проактивниот мониторинг““, одговорија од министерството за РСЕ.
Во извештајот, „Ctrl Alt Intel“ наведува дека успеале да пристапат до папки на серверот на руската хакерска група кон средината на март.
На серверите на хакерската група биле пронајдени повеќе од 2.800 е-пошти, извлечени од владини и воени бази. Украдени биле повеќе од 240 комплети кориснички акредитиви, вклучувајќи лозинки и двофакторски кодови за автентикација, а 140 адреси биле тивко пренасочени кон е-адреса контролирана од напаѓачите, се вели во извештајот.
Повеќе од 11.500 е-адреси биле извлечени од адресите на жртвите, мапирајќи цели комуникациски мрежи, додаде „Ctrl Alt Intel“.
Преку европски институции до европските воени структури
Еден од начините на кои функционира оваа група е идентификуван како пробивање во информациски системи преку таканаречен spear phishing.
Ова е шема за насочено испраќање пораки во која напаѓачот ја прилагодува пораката да изгледа како да доаѓа од доверливо лице или организација, честопати користејќи ги личните информации на жртвата.
Целта е да се измами жртвата да преземе злонамерна датотека и да се обезбеди пристап до системите од кои напаѓачите потоа преземаат содржина од внатрешни сервери.
Кога станува збор, пак, за нападот врз државните институции во соседна Србија, експертите од групата „Ctrl Alt Intel“ идентификуваа шест компромитирани е-поштенски сметки во рамките на самото Министерство за одбрана и по една од системите на Воената академија и Воено-медицинската академија.
Собрани се 248 контакти со кои се остварувала комуникација од овие е-поштенски сметки.
„Овие е-поштенски адреси на српското Министерство за одбрана биле користени за контактирање со други адреси, вклучувајќи неколку во рамките на самото српско Министерство за одбрана, како и со европски воени и одбранбени структури. „Фенси Бер“ успеа да извлече листи со контакти од своите првични цели во рамките на српското Министерство за одбрана за да ги добие овие податоци“, објаснува Бен Фоланд од организацијата „Ctrl Alt Intel“.
Српското Министерство за одбрана не одговори на барањата на Радио Слободна Европа (РСЕ) од четврток, 19 март, во врска со информациите дека податоците на институцијата биле компромитирани.
Кибер-нападот не e пријавен кај Комесарот за информации од јавно значење и заштита на лични податоци, како што е пропишано со српскиот закон.
Во писмо до РСЕ/РЛ, националниот ЦЕРТ на Република Србија, централното тело одговорно за спречување, заштита и реагирање на безбедносни ризици во информациските системи, исто така изјави дека нема информации за овој напад.
Кој стои зад руската хакерска група „Фенси Бер“?
„Фенси Бер“ е хакерска група која е активна најмалку 10 години. Тие се познати под неколку имиња, вклучувајќи ги „APT28“ или „Форест Близард“, како што се нарекуваат во нивните бази на податоци од технолошката компанија Мајкрософт.
Националниот истражувачки центар за сајбер безбедност на британската влада проценува дека „'APT28' речиси сигурно е дел од Главната дирекција за разузнавање (ГРУ) на Генералштабот на Русија“.
Членовите на оваа хакерска група беа директно идентификувани како офицери на ГРУ во обвинението поднесено од Министерството за правда на САД во 2018 година против 12 членови на ГРУ за хакирање на Демократскиот национален комитет, Демократскиот конгресен комитет и изборната кампања на кандидатката за претседател на САД Хилари Клинтон.
Според веб-страницата на „Мајкрософт“, оваа руска хакерска група обично напаѓа влади, невладини организации, ИТ компании и универзитети, а напади се регистрирани во САД, Австралија, Канада, Индија, Украина, Израел и Јапонија.
