Связанная с Россией хакерская группа за последние месяцы взломала более 170 электронных почтовых аккаунтов украинских прокуроров и следователей.
Об этом следует из данных, изученных Reuters.
По оценке исследователей, кампания демонстрирует, как кибершпионаж используется для отслеживания украинских чиновников, занимающихся расследованиями коррупции и дел о сотрудничестве с Россией.
Информация была случайно раскрыта самими хакерами в открытом доступе и обнаружена исследовательской группой Ctrl-Alt-Intel, в которую входят британские и американские специалисты по кибербезопасности. По их данным, оставленные на сервере журналы и тысячи украденных писем свидетельствуют, что с сентября 2024 по март 2026 года были скомпрометированы как минимум 284 почтовых ящика.
Большинство пострадавших находились в Украине, остальные — в странах НАТО и на Балканах. Операция ранее была описана в блоге Ctrl-Alt-Intel, а Reuters ознакомился с исходными данными и впервые публикует детали, включая сведения о более чем десятке затронутых ведомств и должностных лиц.
Исследователи назвали произошедшее «серьёзной операционной ошибкой», отметив, что хакеры фактически оставили открытую уязвимость, позволившую изучить их деятельность.
Ctrl-Alt-Intel приписывает кампанию группе Fancy Bear — одному из названий, используемых для обозначения предполагаемого российского военного хакерского подразделения. Два независимых эксперта, изучивших материалы, в целом согласились с российским следом атаки, хотя разошлись в оценке конкретной причастности группы.
По словам экспертов, целью, вероятно, было получение доступа к расследованиям и возможному компромату на украинских чиновников.
Среди пострадавших ведомств — Специализированная прокуратура в сфере обороны Украины, Агентство по розыску и управлению активами (ARMA) и Киевский центр подготовки прокуроров. Также сообщается о взломах аккаунтов Специализированной антикоррупционной прокуратуры.
Помимо Украины, атака затронула структуры в странах НАТО и соседних государствах, включая Румынию, Грецию, Болгарию и Сербию. В отдельных случаях были скомпрометированы аккаунты военных и сотрудников оборонных ведомств.
