Gjurmë të grupit rus të hakerëve “Fancy Bear”, të cilin institucionet shtetërore amerikane dhe britanike e lidhin me shërbimin ushtarak të inteligjencës ruse GRU, janë gjetur në adresa elektronike të lidhura me domainet e qeverisë maqedonase, Ushtrisë së Maqedonisë së Veriut dhe Ministrisë së Mbrojtjes, njoftoi grupi i ekspertëve të pavarur ndërkombëtarë për sigurinë kibernetike “Ctrl Alt Intel”.

Në raportin e “Ctrl Alt Intel” thuhet se “Fancy Bear” ka komprometuar me sukses subjekte qeveritare dhe ushtarake në Maqedoninë e Veriut, Ukrainë, Rumani, Bullgari, Greqi dhe Serbi – përfshirë edhe adresa elektronike të lidhura me katër vende anëtare të NATO-s.

“Më 28 shkurt 2024 u njoftua se Maqedonia e Veriut iu bashkua sanksioneve perëndimore kundër Rusisë dhe dërgoi armë dhe pajisje në Ukrainë. Kjo e bën Maqedoninë e Veriut një objektiv të besueshëm, edhe pse me rëndësi më të vogël, për t’u përfshirë në grupin e viktimave të lidhura me shtetet që mbështesin Ukrainën”, thuhet në raport.

Në raport ishte theksuar gjithashtu se një e-mail me domenin gov.mk ishte komprometuar nga grupi rus i hakerëve.

Radio Evropa e Lirë iu drejtua Qeverisë me pyetje nëse posta e saj elektronike ka qenë objekt i hakerimit dhe nëse një sulm i tillë është raportuar në Qendrën Kombëtare për Reagim ndaj Incidenteve Kompjuterike MKD-CIRT.

Advertisement

Përgjigjja e Qeverisë ishte se nuk ka incident zyrtar kibernetik, por vetëm përmendje të adresave të e-mailit që konsiderohen të dhëna publikisht të disponueshme, dhe jo fjalëkalime apo informacione të tjera konfidenciale.

“Në lajmin, përkatësisht raportin, referohen adresa e-maili, por jo kredenciale, të cilat hakerët i mbledhin vazhdimisht (shpesh nga burime publike) për sulme të mundshme në të ardhmen. Në përputhje me këtë, dhe në kuadër të kompetencave të Sekretariatit të Përgjithshëm të Qeverisë, nuk është raportuar incident në CIRT kombëtar. Qeveria ndërmerr aktivitete të vazhdueshme për përmirësimin e sigurisë kibernetike dhe ndjek në mënyrë proaktive të gjitha informacionet”, u përgjigj Qeveria për REL.

Një ditë pasi gjetjet e raportit iu përcollën Qeverisë, pjesa që i referohej një e-maili qeveritar të komprometuar u zhduk nga versioni fillestar i publikuar.

Ben Folland, studiues në organizatën “Ctrl Alt Intel”, shpjegoi për REL se bëhej fjalë për një gabim në publikimin e blogut.

“Maqedonia e Veriut ishte një objektiv i fortë i ‘Fancy Bear’; ata madje regjistruan domenin govmk.com për t’u paraqitur si MK për përdorim në fushata phishing. Nga ditari i viktimave, pamë një objektiv me domenin mail.govmk.com. Ne thamë se kishte një viktimë nga ky domen, megjithëse kjo nuk ishte një viktimë reale nga Maqedonia e Veriut. Ne pamë viktima të MK përmes proxy-ve, diku tjetër në fushatë”, tha Folland.

Advertisement

Megjithatë, në raport mbetën të listuara shtatë adresa, prej të cilave pesë lidhen me Ushtrinë e Maqedonisë së Veriut (mil.mk) dhe dy me Ministrinë e Mbrojtjes (mod.gov.mk). Shpjegimi është se ato janë nxjerrë nga “lista e kontakteve” që u përkasin viktimave reale të atij sulmi.

“Kjo tregon se adresat maqedonase janë nxjerrë nga ‘lista e kontakteve’ të viktimave të tjera reale. Ato vijnë nga Ministria e Mbrojtjes e Greqisë”, sqaroi Folland.

Nga Ministria e Mbrojtjes e Maqedonisë së Veriut thanë se siguria e domaineve të Ministrisë dhe Ushtrisë monitorohet 24 orë në ditë nga specialistë.

“Deri në këtë moment, Ministria e Mbrojtjes dhe Ushtria nuk kanë të dhëna për rrjedhje informacioni nga e-mail-et e tyre. Fakti që janë identifikuar adresa me domainet mil.mk dhe mod.gov.mk nuk do të thotë domosdoshmërisht se ato janë sulmuar. Në tekstin e përmendur nuk përmendet një fushatë konkrete, por vetëm dosje të gjetura të një grupi hakerësh. Si institucione përgjegjëse në këtë fushë, sidomos pas fillimit të luftës në Ukrainë, jemi vazhdimisht subjekt i sulmeve kibernetike (qasje e paautorizuar, phishing, etj.) në përpjekje për të hyrë në të dhëna përkatëse. Për mbrojtje nga këto sulme, punonjësit trajnohen rregullisht së bashku me kolegë nga institucione të tjera shtetërore dhe me ndihmën e vendeve aleate”, thanë nga Ministria e Mbrojtjes.

Nga Ministria e Transformimit Digjital thanë se në adresat e përmendura në raport nuk ka kredenciale të komprometuara apo prova për qasje të paautorizuar në sistemet qeveritare. Ata shpjegojnë se këto adresa shpesh mblidhen nga burime publike ose rrjedhje të mëparshme jo sistematike dhe përdoren për fushata të mundshme phishing në të ardhmen.

Advertisement

“Duke qenë se nuk është konfirmuar incident, nuk janë regjistruar pasoja të drejtpërdrejta në sistemet informative, integritetin e të dhënave apo disponueshmërinë e shërbimeve. Në raport, domainet mil.mk dhe mod.gov.mk shfaqen në kontekstin e ‘vjedhjes së librave të adresave’, që do të thotë se bëhet fjalë për kontakte të nxjerra nga lista adresash, dhe jo për llogari të komprometuara. Megjithatë, të gjitha informacionet relevante nga burime të hapura monitorohen dhe analizohen vazhdimisht si pjesë e monitorimit proaktiv”, thanë nga ministria për REL.

Në raport, “Ctrl Alt Intel” thotë se arriti të qasej në dosjet e serverit të grupit rus të hakerëve në mes të marsit.

Në serverët e grupit janë gjetur më shumë se 2.800 e-mail-e, të nxjerra nga baza qeveritare dhe ushtarake. Janë vjedhur më shumë se 240 sete kredencialesh përdoruesi, përfshirë fjalëkalime dhe kode të autentifikimit me dy faktorë, ndërsa 140 adresa janë ridrejtuar në mënyrë të fshehtë drejt një e-maili të kontrolluar nga sulmuesit.

Më shumë se 11.500 adresa e-maili janë nxjerrë nga adresat e viktimave, duke hartëzuar rrjete të tëra komunikimi, shtoi “Ctrl Alt Intel”.

Nga institucionet evropiane drejt strukturave ushtarake evropiane

Advertisement

Një nga mënyrat e funksionimit të këtij grupi është identifikuar si depërtimi në sisteme përmes të ashtuquajturit spear phishing.

Kjo është një skemë e dërgimit të mesazheve të synuara, ku sulmuesi e përshtat mesazhin që të duket sikur vjen nga një person apo organizatë e besueshme, shpesh duke përdorur të dhëna personale të viktimës.

Qëllimi është të mashtrohet viktima për të shkarkuar një skedar të dëmshëm dhe kështu të sigurohet qasje në sistem, nga ku më pas sulmuesit marrin të dhëna nga serverët e brendshëm.

Sa i përket sulmit ndaj institucioneve shtetërore në Serbi, ekspertët e “Ctrl Alt Intel” identifikuan gjashtë llogari e-maili të komprometuara brenda Ministrisë së Mbrojtjes, si dhe nga një në sistemet e Akademisë Ushtarake dhe Akademisë Ushtarake Mjekësore.

Janë mbledhur 248 kontakte me të cilat këto llogari kishin komunikuar.

Advertisement

“Këto adresa e-maili të Ministrisë së Mbrojtjes së Serbisë janë përdorur për të kontaktuar adresa të tjera, përfshirë disa brenda vetë ministrisë, si dhe struktura ushtarake dhe mbrojtëse evropiane. ‘Fancy Bear’ arriti të nxjerrë lista kontaktesh nga objektivat e saj fillestare në ministri për të marrë këto të dhëna”, shpjegoi Ben Folland.

Ministria e Mbrojtjes e Serbisë nuk iu përgjigj kërkesave të Radios Evropa e Lirë lidhur me këto informacione.

Sulmi kibernetik nuk është raportuar as te Komisioneri për Informacion me Rëndësi Publike dhe Mbrojtjen e të Dhënave Personale, siç kërkon ligji serb.

Në një letër për REL/RL, CERT-i kombëtar i Serbisë, organi qendror përgjegjës për parandalimin dhe reagimin ndaj rreziqeve në sistemet informative, deklaroi gjithashtu se nuk ka informacion për këtë sulm.

Kush qëndron pas grupit rus të hakerëve “Fancy Bear”?

Advertisement

“Fancy Bear” është një grup hakerësh aktiv për të paktën 10 vjet. Ata njihen edhe me emra të tjerë, përfshirë “APT28” ose “Forest Blizzard”, siç quhen në bazat e të dhënave të kompanisë teknologjike Microsoft.

Qendra Kombëtare për Sigurinë Kibernetike e qeverisë britanike vlerëson se “APT28 pothuajse me siguri është pjesë e Drejtorisë Kryesore të Inteligjencës (GRU) të Shtabit të Përgjithshëm të Rusisë”.

Anëtarët e këtij grupi u identifikuan drejtpërdrejt si oficerë të GRU-së në aktakuzën e Departamentit të Drejtësisë së SHBA në vitin 2018 kundër 12 anëtarëve të GRU-së për hakerimin e Komitetit Kombëtar Demokratik, Komitetit Demokratik të Kongresit dhe fushatës presidenciale të Hillary Clinton.

Sipas faqes së Microsoft, ky grup hakerësh rusë zakonisht sulmon qeveri, organizata joqeveritare, kompani IT dhe universitete, ndërsa sulme janë regjistruar në SHBA, Australi, Kanada, Indi, Ukrainë, Izrael dhe Japoni. /rel/

Advertisement