O analiză internațională a organizației Ctrl-Alt-Intel scoate la iveală o posibilă breșă majoră de securitate în Armatei Române. Zeci de adrese de email ale Forțelor Aeriene Române ar fi fost compromise de hackeri ruși, care ar fi avut acces la corespondență timp de până la doi ani. În schimb, Ministerul Apărării a precizat, printr-un comunicat de presă, că breșa de securitate a durat doar 24 de ore și a avut loc în luna martie.
Potrivit unei analize publicate de cercetătorii de la CtrlAltIntel, infrastructura folosită de gruparea Fancy Bear – asociată serviciilor de informații militare ruse – a fost expusă accidental, lăsând la vedere date despre victime, metode și chiar conținuturi extrase din conturi compromise. Printre ținte apar și adrese de email care folosesc domeniul Forțelor Aeriene Române, ceea ce ridică semne serioase de întrebare privind securitatea comunicațiilor militare.
Hackerii ar fi avut acces la informații sensibile
La nivel general, România figurează cu 67 de adrese de email compromise sau vizate, majoritatea aparținând Forțelor Aeriene (62), dar și Academiei Forțelor Aeriene (5). În comparație, Ucraina a fost cea mai afectată țară, cu 175 de victime, urmată de România, Grecia (30), Serbia (8) și Bulgaria (4).
Deși raportul nu detaliază conținutul exact al emailurilor românești, experții spun că accesul la astfel de conturi poate însemna mult mai mult decât simple mesaje. Un atacator cu acces constant poate vedea: documente atașate, discuții interne, planuri logistice sau administrative, date personale ale angajaților
În plus, poate folosi conturile compromise pentru a lansa atacuri suplimentare sau pentru a trimite mesaje în numele victimelor. NewsCenter.ro a trimis mai multe întrebări la Forțele Aeriene și la Ministerul Apărării în legătură cu această breșă de securitate. NewsCenter a aflat că mai multe emailuri ale unor persoane din rangul doi al Forțelor Aeriene au fost sparte în această operațiune. Conducerea Armatei Române nu ne-a precizat dacă au fost sparte și emailurile conducerii Forțelor Aeriene Române. General-locotenent Leonard Gabriel Baraboi este cel este Șeful Statului Major al Forțelor Aeriene.
O breșă care a durat 2 ani la Forțele Aeriene
Datele sugerează că, deși România a fost o țintă importantă, anumite vulnerabilități nu au fost exploatate complet, iar unele măsuri tehnice au limitat impactul atacurilor. Nu este vorba despre un atac punctual. Din contră, raportul descrie o operațiune de durată, în care hackerii au reușit să păstreze accesul la conturi pentru perioade îndelungate.
Raportul privind activitatea grupării Fancy Bear indică faptul că România s-a aflat printre principalele ținte ale campaniei de furt de credențiale, cu un accent clar pe Forțele Aeriene Române. În total, au fost identificate 3.380 de tentative de capturare a datelor de autentificare, vizând 244 de adrese de email unice, iar domeniul roaf.ro apare ca organizația cea mai frecvent atacată, cu 52 de victime distincte.
Analiza arată și o evoluție a metodelor folosite de atacatori, care au trecut de la utilizarea unor adrese generice, precum cele de tip @proton.me, la adrese create special pentru a imita instituții reale, o tehnică menită să crească rata de succes și să evite detectarea.
Cu toate acestea, în cazul Forțelor Aeriene Române, toate tentativele de compromitere printr-o metodă specifică (ManageSieve) au eșuat. Serverele instituției nu suportau acest protocol, ceea ce a blocat una dintre cele mai persistente tehnici de acces utilizate de atacatori.
În paralel, raportul evidențiază și tentative de interceptare a codurilor de autentificare în doi pași (2FA). Au fost identificate 516 astfel de încercări, care au vizat 108 adrese de email. Dintre acestea, 256 conțineau secrete reale de autentificare (TOTP), în timp ce 260 de conturi nu aveau deloc activată protecția 2FA. Din nou, Forțele Aeriene Române apar în topul țintelor, cu 39 de victime.
Ministerul Apărării susține că breșa de securitate a durat doar 24 de ore
„În legătură cu incidentul de securitate semnalat, precizăm că acesta a fost depistat în luna martie a anului 2025 și a presupus compromiterea a câtorva zeci de adrese de email, pentru alte 30 de adrese de email exploatarea nu a avut succes. Incidentul a fost depistat, analizat de structurile competente si izolat în termen de 24h”, se precizează într-un comunicat al Ministerului Apărării Naționale (MApN).
„Datele vizate au fost unele neclasificate, utilizate în mod curent pentru activități administrative și pentru vehicularea unor informații publice, astfel că nu a existat posibilitatea accesării sau exfiltrării de date clasificate”, mai precizează reprezentanții MApN.
Cum au operat hackerii
Metoda folosită este una clasică, dar eficientă: phishing țintit. Victimele sunt păcălite să își introducă datele de autentificare pe pagini false, care imită serviciile reale de email.
Odată obținute credențialele, accesul devine aproape invizibil. „Stolen credentials allowed attackers to log in directly and maintain persistent access without triggering alerts”, se arată în raport.
Această tehnică permite atacatorilor să rămână nedetectați luni sau chiar ani, mai ales dacă nu există sisteme avansate de monitorizare.
Ținte din mai multe state NATO
România nu a fost o țintă izolată. Raportul arată că atacurile au vizat instituții militare și guvernamentale din mai multe țări, inclusiv Grecia, Bulgaria, Serbia și Ucraina.
De altfel, o analiză Reuters confirmă că operațiunea a inclus sute de conturi compromise, în special în Ucraina, dar și în state NATO, inclusiv Forțele Aeriene Române.
Experții susțin că scopul ar putea fi dublu:
- monitorizarea investigațiilor și activităților instituțiilor
- colectarea de informații sensibile sau compromițătoare
Cine este Fancy Bear
Gruparea Fancy Bear (APT28) este considerată una dintre cele mai sofisticate rețele de spionaj cibernetic, fiind asociată cu serviciul de informații militare al Rusiei (GRU).
Aceasta operează de peste un deceniu și a fost implicată în numeroase atacuri de profil înalt, inclusiv:
- atacuri asupra NATO și guvernelor occidentale
- compromiterea Partidului Democrat din SUA
- operațiuni de spionaj în Europa de Est
Metodele utilizate includ phishing țintit, malware și exploatarea vulnerabilităților informatice, toate menite să asigure acces discret și de durată.
În total, analiza indică: mii de adrese de email colectate, sute de conturi compromise și zeci de mii de contacte extrase.
Aceste cifre conturează dimensiunea unei operațiuni de spionaj cibernetic desfășurate la scară largă.
