Кај руските хакери „Фенси Бер“ пронајдени електронски адреси поврзани со македонската влада, Армијата и Министерството за одбрана

2026-03-25 - 11:03

Траги од руската хакерска група „Фенси Бер“, која американските и британските државни институции ја поврзуваат со руската воено-разузнавачка служба ГРУ, се пронајдени електронски адреси поврзани со домејни на македонската влада, Армијата на Македонија и Министерството за одбрана, објави групата на меѓународно поврзани независни експерти за сајбер безбедност „Crtl Alt Intel“, пренесува Радио Слободна Европа. Во извештајот на „Crtl Alt Intel“ се наведува дека „Фенси Бер“ успешно компромитирал владини и воени субјекти низ Северна Македонија, Украина, Романија, Бугарија, Грција и Србија – вклучувајќи и електронски адреси поврзани со четири земји-членки на НАТО. „На 28 февруари 2024 година беше објавено дека Северна Македонија се приклучи на западните санкции против Русија и испратила оружје и опрема во Украина. Тоа ја прави Северна Македонија веродостојна, иако со помала значајност, да се вклопува во групата жртви поврзани со државите што ја поддржуваат Украина“, наведува „Crtl Alt Intel“. Во извештајот пишуваше дека и мејл со домејн gov.mk бил компромитиран од руската хакерска група. РСЕ се обрати до Владата со прашања дали нејзина електронска пошта била предмет на хакирање и дали ваков напад е пријавен во Националниот центар за одговор на компјутерски инциденти МКД-ЦИРТ. Одговорот на Владата е дека нема официјален сајбер инцидент, туку само споменување на е-поштенски адреси кои се сметаат за јавно достапни податоци, а не за лозинки или слични доверливи информации. „Во веста, односно извештајот се референцираат адреси за е-пошта, но не и креденцијали, кои хакерите континуирано ги собираат (често од јавно достапни извори) за потенцијални идни напади. Согласно тоа, како и во рамки на надлежностите на Генерален секретаријат на Влада не е пријавен инцидент до Националниот ЦИРТ. Владата презема континуирани активности за подобрување на сајбер безбедноста и проактивно ги следи сите информации“, одговорија од Владата за РСЕ. Еден ден откако и ги посочивме на Владата наодите во извештајот, делот кој се однесува на компромитирана владина електронска пошта изчезна од првично публикуваната верзија. Бен Фоланд, истражувач во организацијата „Ctrl Alt Intel” за РСЕ објасни дека станува збор за грешка објавена на блогот. „Северна Македонија беше силно цел на „Фенси Бер“, тие дури го регистрираа доменот govmk.com за да се претставуваат како MK за употреба во фишинг кампањи. Од дневникот на жртвите, ја видовме жртвата со доменот mail.govmk.com. Наведовме дека имаше 1 жртва од горенаведениот домен, иако ова не беше вистинска жртва од Северна Македонија. Видовме жртви на MK преку прокси, на друго место во кампањата“, рече Фоланд. Но, во извештајот останаа наведените седум адреси, од кои пет се поврзуваат со Армијата на Северна Македонија (mil.mk) и две со Министерството за одбрана (mod.gov.mk). Образложението е дека тие се извлечени од „контакт листата“ што припаѓа на вистински жртви на тој напад. „Тoa прикажува дека македонски е-адреси се извлечени од „контакт листата“ на други вистински жртви. Тие доаѓаат од грчкото Министерство за одбрана“, појасни Фоланд. Од македонското Министерство за одбрана велат дека состојбата со безбедноста на домејните на Министерството за одбрана и Армијата се следат 24 часовно од стручни лица. „До овој момент Министерството за одбрана и Армијата немаат податок за оттекнување на податоци од мејловите на министерството и Армијата. Податокот дека се идентификувани мејлови на домејните mil.mk и mod.gov.mk не мора да значи дека истите биле нападнати. Во споменатиот текст не е наведена конкретна кампања, туку за пронајдени фолдери на хакерска група. Како институции кои се одговорни на ова поле, особено по почетокот на војната во Украина, во континуитет се подложни на сајбер напади (неовластен пристап, фишинг напади и сл.) во обид да се пристапи до соодветни податоци. За заштита од ваков вид напади за вработените се вршат редовни обуки заедно со колегите од другите државни институции, како и со помош на сојузничките земји“, одговорија од Министерството за одбрана. Од Министерството за дигитална трансформација велат дека во спомнатите е-маил адреси во извештајот не се наведуваат компромитирани креденцијали или докази за неовластен пристап до владини системи. Објаснуваат дека вакви адреси често се агрегираат од јавно достапни извори или претходни несистемски протекувања и се користат за потенцијални идни фишинг-кампањи. „Со оглед дека не е потврден инцидент, не се евидентирани директни последици врз информациските системи, интегритетот на податоците или достапноста на услугите. Во извештајот, домените mil.mk и mod.gov.mk се појавуваат во контекст на „address book theft“, што значи дека станува збор за контакт-адреси извлечени од адресари, а не за компромитирани кориснички сметки. Сепак, сите релевантни информации од отворени извори се следат и се анализираат во континуитет како дел од проактивниот мониторинг““, одговорија од министерството за РСЕ. Во извештајот, „Ctrl Alt Intel“ наведува дека успеале да пристапат до папки на серверот на руската хакерска група кон средината на март. На серверите на хакерската група биле пронајдени повеќе од 2.800 е-пошти, извлечени од владини и воени бази. Украдени биле повеќе од 240 комплети кориснички акредитиви, вклучувајќи лозинки и двофакторски кодови за автентикација, а 140 адреси биле тивко пренасочени кон е-адреса контролирана од напаѓачите, се вели во извештајот. Повеќе од 11.500 е-адреси биле извлечени од адресите на жртвите, мапирајќи цели комуникациски мрежи, додаде „Ctrl Alt Intel“.