Порака на апликацијата Сигнал (Signal) и отворање линк за наводен видео повик.
На овој начин, Белградскиот центар за безбедносна политика стана жртва на руски хакерски групи, што е утврдено со форензичката анализа извршена за оваа српска невладина организација од страна на една од најголемите ИТ компании во светот.
Зборуваме за хакерски групи кои владите на Соединетите Американски Држави и Велика Британија претходно ги поврзале со разузнавачките и безбедносните структури на Русија.
За време на нападот, хакерите пристапиле до дел од архивата и прочитале повеќе од 28.000 е-пораки на српска организација која речиси 25 години ги следи реформите во безбедносниот сектор и е активно вклучена во комуникацијата со бројни европски институции.
„Нашата мејлинг листа на меѓународни и домашни партнери е многу голема“, изјави за Радио Слободна Европа (РСЕ) Игор Бандовиќ, директор на Белградскиот центар за безбедносна политика (BCBP).
Тој исто така наведува дека сметките на вработените во BCBP биле користени во понатамошното проширување на хакерската операција на две руски групи.
Едната е поврзана со Службата за надворешно разузнавање на Русија (СВР), а другата со Руската воена разузнавачка служба (ГРУ).
Двете групи, како што е наведено на веб-страницата на Microsoft, ги напаѓаат владите, дипломатските институции, невладините организации и ИТ компаниите ширум светот.
„Напаѓачите користат сите можни методи за да добијат пристап до чувствителни е-пораки, датотеки и пораки“, изјави за РСЕ директорот на американската компанија за сајбер безбедност Volexity, Стивен Адаир, кој исто така се занимаваше со нападот врз BCBP.
Тој додава дека организациите на граѓанското општество во Србија „скоро сигурно ќе продолжат да бидат цели поради нивната работа и експертиза во областите поврзани со Русија, Украина и безбедносните напори во Европа“.
„Пораката што ми стигна воопшто не изгледаше сомнително“, се присетува директорот на BCBP, Игор Бандовиќ.
Тој наведува дека во јули минатата година го контактирала порака од лице кое се претставило како белоруски опозициски политичар Сергеј Циханускаја, сопруг на прогонетата опозиционерка Светлана Циханускаја.
„Тој предложи да закажеме видео повик за да разговараме за политичката ситуација во Југоисточна Европа“, додава Бандовиќ.
Оваа порака, како што се покажа во подоцнежната форензичка анализа, била една од клучните влезни точки преку кои се одвивала операцијата на руските хакери со намера да ја преземат „инфраструктурата“ на една белградска невладина организација, но и дополнително да ги прошират своите активности.
Игор Бандовиќ вели дека го прашал соговорникот преку кого го добил својот контакт. Кога му било објаснето дека станува збор за колега од Романија, Бандовиќ наведува дека немал причина премногу да ја доведува во прашање автентичноста на разговорот.
Комуникацијата се одвивала преку апликацијата за пораки Сигнал, која е карактеристична за заштита на приватноста и шифриран (заштитен) пренос на информации, каде што корисниците можат да се поврзат преку телефонски броеви или корисничко име.
Бил испратен линк за видео повик со пораката.
Во времето на закажаниот состанок, Бандовиќ го копирал линкот во интернет прелистувачот. Видеоповикот не бил активиран, но им отворил врата на хакерите до речиси целата комуникација на вработените во BCBP.
На овој начин, Бандовиќ станал жртва на таканаречен spear phishing, т.е. целно испраќање пораки во кое напаѓачот ја прилагодува пораката така што изгледа како да доаѓа од доверливо лице или организација, честопати користејќи ги личните податоци на жртвата.
Целта е да се измами жртвата да открие доверливи информации, да преземе злонамерна датотека или да обезбеди пристап до системите.
Пред четири месеци, во ноември минатата година, „Центарот за разузнавање на закани на Мајкрософт“, специјализиран тим на Мајкрософт кој се занимава со истражување на дигиталната безбедност на корисниците на софтверските пакети на оваа компанија, го предупреди Белградскиот центар за безбедносна политика дека е жртва на хакерски напад.
Една од најголемите ИТ компании во светот, која побарала анонимност, а чиј идентитет и е познат на Радио Слободна Европа, извршила форензичка анализа за BCBP и идентификувала две хакерски групи - „Midnight Blizzard“ и „Forest „Близард“ како организации кои стојат зад овие напади.
Кои се руските хакери зад нападите во Србија?
„Midnight Blizzard“ е хакерска група која ја следи компанијата Мајкрософт под тоа име и е активна најрано од 2018 година.
Како што е наведено на веб-страницата на Мајкрософт, групата работи од Русија.
Владите на САД и Велика Британија ја поврзуваат со Службата за надворешно разузнавање на Руската Федерација, позната како СВР.
Групата е позната по напади врз влади, дипломатски институции, невладини организации и компании за ИТ услуги, главно во САД и Европа.
Нивната цел, според Microsoft, е „собирање разузнавачки информации преку долгорочна и посветена шпионажа“ на странски интереси.
„Forest Blizzard“, од друга страна, е хакерска група на која ѝ се припишуваат врски со руската разузнавачка агенција ГРУ.
Членовите на оваа група беа директно идентификувани како офицери на ГРУ во обвинението поднесено од Министерството за правда на САД во 2018 година против 12 членови на ГРУ за хакирање на Демократскиот национален комитет и изборната кампања на кандидатката за претседател на САД, Хилари Клинтон.
Целта, според обвинението, била да се „влијае на претседателските избори во САД во 2016 година“.
Според обвинението, ГРУ потоа извршила масовни фишинг напади против членови на изборниот штаб на Хилари Клинтон, што им овозможило пристап до десетици илјади е-пошти.
По успешните напади, тие ги хакирале компјутерите на институциите што ја воделе демократската кампања, украле документи, лозинки и тајно ја следеле работата на вработените, според обвинението.
Овој случај не напредувал подалеку од обвинението, бидејќи сите обвинети се недостапни за американските власти.
Според веб-страницата на „Мајкрософт“, целите на нападите на оваа руска група се влади, невладини организации, ИТ компании и универзитети, а напади се регистрирани во Америка, Австралија, Канада, Индија, Украина, Израел и Јапонија.
Широк спектар на слични хакерски кампањи, кои вклучуваат лажно претставување на поединци и компромитирање на сметки, беа анализирани од американската фирма за сајбер безбедност „Волексити“ со седиште во Вашингтон.
„Доста сме уверени дека овие напади насочени кон поединци и организации ангажирани во прашања поврзани со Русија, Украина и европската безбедност се дело на руски сајбер закани“, изјави за РСЕ, Стивен Адаир, основач и директор на оваа компанија.
Тој додава дека руските актери усвоиле неколку техники насочени кон компромитирање на корисниците.
„Овие напади еволуираа од лажно претставување на поединци, како што се амбасадори и дипломати, до создавање лажни веб-страници за конференции дизајнирани да ги „фашираат“ акредитивите на потенцијалните учесници“, објаснува Адаир.
Лажна веб-страница на Белградската безбедносна конференција
Форензичка анализа спроведена за српскиот Центар за безбедносна политика од страна на глобална ИТ компанија покажа дека за само еден месец следење, од почетокот на ноември до почетокот на декември 2025 година, се регистрирани повеќе од 28 илјади пристапи до е-пошта на вработените во Центарот за безбедносна политика.
Ова значеше отворање на пораки и документи што беа испратени како прилози, како и пристап до архиви и постара кореспонденција со домашни и странски партнери, објаснуваат од BCBP.
„Беа регистрирани обиди за дополнителна комуникација со нашите вработени, од кои е јасно дека по влегувањето во системот, хакерите практично имале преглед на комуникацијата во моменти додека таа се одвивала“, вели Бандовиќ.
Операцијата доби поширок опсег кога хакерската група создаде и лажна веб-страница што беше рекламирана како официјална платформа за регистрирање на учесниците на Белградската безбедносна конференција.
Оваа конференција, организирана од BCBP, се одржа од 17 до 19 ноември во Белград.
Тоа беше четвртиот собир што претставува еден од најголемите регионални собири посветени на прашања од надворешната политика и безбедноста, а кој собира повеќе од 500 учесници од Србија и од странство.
Тоа е полузатворен настан на кој присуствуваат политички претставници, дипломати, експерти и претставници на меѓународни организации.
Форензичката анализа од американската компанија Volexity, која исто така го анализираше овој случај, покажа дека гостите и учесниците биле насочени кон лажна страница преку е-пошта со цел „да се прошири инфилтрацијата на меѓународни учесници, претставници на влади, меѓународни организации, академски кругови и граѓанско општество“.
„Непосредно пред конференцијата, институциите на Европската Унија испратија предупредување за „фишинг“ кампања што се шири од лажни профили на Белградската конференција и ги таргетира нашите партнери во ЕУ и Северна Америка“, вели Бандовиќ.
Тој наведува дека една од целите била да се одвратат странците да дојдат во Белград, додека другата, како што рече, била „дефинитивно разузнавачка шпионажа“.
Колкав е обемот на нападот?
Од Центарот за безбедносна политика велат дека дури и шест месеци подоцна, тешко е да се процени обемот на штетата.
„Партнери од две организации, едната од Европа, другата од САД, не контактираа велејќи дека добиле фишинг е-пораки од нашите адреси. Но, тоа значи дека ги препознале. Не можеме ни да претпоставиме колку организации и поединци не ја препознале оваа хакерска активност“, вели Бандовиќ.
Основачот на Volexity, Стивен Адаир, за РСЕ изјави дека „размерот на овие напади изгледа доста голем“.
„Руските заканувачки актери создадоа целосно лажна веб-страница имитирајќи ја Белградската безбедносна конференција и ги таргетираа луѓето кои би можеле да присуствуваат или би биле заинтересирани да зборуваат на неа. Ова дава важен увид во тоа каков вид работа во Србија особено го привлекува вниманието на напаѓачите“, вели Адаир.
Она што форензичката анализа го откри по нападот оди подалеку од фишингот и лажното претставување.
Деталното истражување покажа дека оваа невладина организација е цел на руски хакери од летото 2024 година.
Од септември истата година, според наодите од дигиталната форензичка анализа, сметката на администраторот е преземена преку VPN сметка, односно пристапни точки до серверот BCBP кои се користат за далечинска работа.
Што велат институциите во Србија?
Бандовиќ вели дека не ги пријавиле нападите во Обвинителството за борба против високотехнолошкиот криминал во Србија бидејќи „не веруваат во непристрасна истрага“.
Тие јавно ги објавија сите информации со цел да ги предупредат потенцијалните жртви, рече Бандовиќ.
Тој додава дека ги отстраниле сите закани од својот систем на почетокот на декември.
Кои се знаците на разузнавачка соработка меѓу Србија и Русија?
Во 2019 година, американскиот Стејт департмент ја окарактеризира Србија, која е кандидат за членство во Европската Унија, како земја со „најпропустлива средина“ за руско влијание во Западен Балкан.
Дури и по руската инвазија на Украина и западните санкции против Москва, Белград остана еден од ретките европски партнери на Кремљ.
Двете земји, исто така, ја продолжија разузнавачката соработка.
Во септември 2025 година, беше откриено дека на западот од Србија, руските служби организирале кампови за обука каде што граѓани на Молдавија и Романија, според соопштението од Кишињев, биле подготвени да предизвикаат нарушувања за време на молдавските избори.
Властите во Србија ја поканија Руската Федерална служба за безбедност во Србија да ги истражи наводите дека против демонстрантите на антивладиниот протест на 15 март во Белград бил употребен звучен топ.
Москва и Белград, без да обезбедат докази, ги обвинуваат западните служби дека стојат зад масовните протести во Србија на кои се бара одговорност од властите за смртта на 16 лица во железничката несреќа во Нови Сад.
Заедничката борба против „шарените револуции“, термин што го користи Москва за да се опише соборувањето на авторитарните режими во поранешните советски републики, беше најавена од Белград и Кремљ уште во 2021 година.
Прорускиот функционер во Владата на Србија, Александар Вулин, кој е ставен на црната листа на САД поради неговата соработка со Русија, преговарал со тогашниот прв човек на руската разузнавачка служба, Николај Патрушев.
Членовите на руската опозиција го обвинија Вулин дека ги прислушкувал во Белград и ги пренесувал информациите на Кремљ, по што следеле нивни апсења во Москва.
Србија беше во фокусот на обвинувања дека им обезбедила засолниште на руски дипломати кои биле протерани од земјите на Европската Унија под сомнение за шпионажа.