Руски държавни хакерски групи са извършили мащабна кибершпионска операция срещу Белградски център за политика за сигурност, показва съдебно-техническа експертиза, изготвена за организацията от една от най-големите IT компании в света. Атаката е осъществена чрез съобщение в приложението Signal и линк за предполагаем видеоразговор, който е дал на хакерите достъп до вътрешната комуникация на центъра.
По време на пробива нападателите са прочели над 28 000 имейла, включително архиви и кореспонденция с местни и международни партньори. „Нашият пощенски списък с международни и местни партньори е изключително голям“, заяви пред Радио Свободна Европа директорът на центъра Игор Бандович.
Експертизата установява, че зад атаката стоят две руски групи – Midnight Blizzard, свързвана със Служба за външно разузнаване на Русия, и Forest Blizzard, асоциирана с ГРУ. И двете групи са известни с дългосрочни шпионски операции срещу правителства, дипломати, неправителствени организации и IT компании в Европа и САЩ.
Според анализа на Microsoft и американската компания за киберсигурност Volexity, хакерите са използвали класическа схема на „спиър фишинг“, при която съобщенията са персонализирани така, че да изглеждат като идващи от надежден източник. В конкретния случай Бандович е получил съобщение от човек, представящ се за беларуския опозиционен политик Сергей Тихановски, с предложение за видеоразговор по политическата ситуация в Югоизточна Европа.
След отваряне на линка видеоразговор не се е състоял, но е бил компрометиран достъпът до комуникацията на организацията. Впоследствие акаунтите на служителите са били използвани за разширяване на операцията и за изпращане на фишинг имейли към други организации в Европа и САЩ.
Хакерската дейност ескалира около Белградската конференция по сигурността, проведена през ноември, за която е бил създаден фалшив сайт за регистрация. Целта е била да се разшири инфилтрацията към международни участници – представители на правителства, международни организации, академични среди и гражданското общество. Малко преди форума институциите на ЕС са разпространили предупреждение за активна фишинг кампания.
Само за един месец – от началото на ноември до началото на декември 2025 г. – са отчетени над 28 000 достъпа до имейлите на служителите, включително опити за последваща комуникация, което според Бандович показва, че нападателите са имали „практически пълен преглед на текущата ни дейност“.
Атаките са започнали още през лятото на 2024 г., а през септември е бил компрометиран администраторски акаунт чрез VPN достъп, което е осигурило достъп до сървърите на организацията. Случаят не е докладван на сръбската прокуратура за високотехнологични престъпления поради липса на доверие в безпристрастно разследване, а информацията е оповестена публично с цел предупреждение на потенциални жертви.
Експертите предупреждават, че организациите на гражданското общество в Сърбия ще продължат да бъдат приоритетна мишена, особено когато работят по теми, свързани с Русия, Украйна и европейската сигурност. По данни на Държавен департамент на САЩ Сърбия остава една от най-пропускливите среди за руско влияние на Западните Балкани – тенденция, която все по-често се проявява и в киберпространството.