Ministarstvo odbrane Srbije na meti ruskih državnih hakera

2026-03-23 - 22:03

Tragovi ruske hakerske grupe „Fancy Bear“, koju američke i britanske državne institucije povezuju sa ruskom vojnom obavještajnom službom GRU, pronađeni su u srpskom Ministarstvu odbrane, Vojnoj akademiji i Vojnomedicinskoj akademiji (VMA). Grupa međunarodno povezanih nezavisnih stručnjaka za sajber bezbjednost „Ctrl Alt Intel“ je, kako su saopštili, sredinom marta uspjela da pristupi folderima na serveru ruske hakerske grupe. Na serverima su, prema podacima koje su podijelili, pronašli dokaze da su, između ostalog, ruski hakeri prikupljali podatke sa imejl adresa iz tri srpske državne institucije. Ministarstvo odbrane Srbije do objavljivanja ovog teksta nije odgovorilo na upite Radija Slobodna Evropa (RSE) od četvrtka 19. marta, a u vezi sa saznanjima da su podaci institucije kompromitovani. Sajber napad nije prijavljen ni Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, kako je to srpskim zakonima predviđeno. U dopisu RSE, nacionalni CERT Republike Srbije, centralno tijelo zaduženo za prevenciju, zaštitu i odgovor na bezbjednosne rizike u informacionim sistemima, takođe navodi da nema podatke o ovom napadu. U izvještaju organizacije „Ctrl Alt Intel“ navodi se, međutim, da podaci do kojih su došli pokazuju da je moguće identifikovati šest različitih imejl naloga Ministarstva odbrane koji su hakovani, a gdje su napadači uspjeli da dođu i do zaštite za dodatnu potvrdu prijave (takozvana dvostepena verifikacija). Kod četiri naloga su podesili automatsko prosljeđivanje mejlova na druge adrese, tako da su napadači mogli da prate svu pristiglu poštu, navode iz ove organizacije. Raspoloživi podaci nemaju oznake datuma, pa nije moguće utvrditi kada se inicijalni napad desio. „Ovo je moglo da traje još od oktobra 2024. godine. Postoji mogućnost da su ove imejl adrese i dalje kompromitovane i da i danas prosljeđuju mejlove na ‘FancyBear’ adrese“, kaže za RSE Ben Foland (Folland), istraživač u organizaciji „Ctrl Alt Intel“. Ko stoji iza ruske hakerske grupe „Fancy Bear“? „Fancy Bear“ je hakerska grupa koja je aktivna najmanje 10 godina. Poznati su pod više naziva, između ostalog i kao „APT28“ ili „Forest Blizzard“, kako ih u svojim bazama vodi tehnološka kompanija Majkrosoft (Microsoft). Britanski državni Nacionalni centar za sajber bezbjednost u istraživanjima procjenjuje da je „APT28“ gotovo sigurno dio Glavne obavještajne uprave (GRU) Generalštaba Rusije. Pripadnici ove hakerske grupe direktno su identifikovani kao oficiri GRU u optužnici koju je američko Ministarstvo pravde 2018. godine podiglo protiv 12 pripadnika GRU zbog hakovanja Demokratskog nacionalnog komiteta, Demokratskog kongresnog komiteta i predizborne kampanje kandidatkinje za predsjednicu SAD Hilari Klinton (Hillary Clinton). Kako se navodi na sajtu Microsofta, ova ruska hakerska grupa po pravilu napada vlade, nevladine organizacije, IT kompanije i univerzitete, a napadi su zabilježeni u Americi, Australiji, Kanadi, Indiji, Ukrajini, Izraelu i Japanu. Preko srpskih institucija do evropskih vojnih struktura Kao jedan od načina na koji ova grupa funkcioniše identifikovan je ulazak u informacione sisteme preko takozvanog „spear phishinga“. Radi se o ciljanom slanju poruka u kojem napadač prilagođava poruku tako da izgleda kao da dolazi od pouzdane osobe ili organizacije, često koristeći lične podatke o žrtvi. Cilj je da žrtva bude prevarena kako bi preuzela zlonamjerni fajl i omogućila pristup sistemima sa kojih napadači potom skidaju sadržaj sa internih servera. Kada je u pitanju napad na srpske državne institucije, stručnjaci grupe „Ctrl Alt Intel“ su identifikovali šest kompromitovanih imejl naloga u samom Ministarstvu odbrane i po jedan iz sistema Vojne akademije i VMA. Prikupljeno je 248 kontakata sa kojima je sa ovih imejl naloga komunicirano. „Sa ovih imejl adresa srpskog Ministarstva odbrane kontaktirane su druge adrese, uključujući više njih unutar samog srpskog Ministarstva odbrane, ali i evropske vojne i odbrambene strukture. ‘FancyBear’ je uspio da izvuče liste kontakata sa svojih početnih meta u srpskom Ministarstvu odbrane kako bi došao do ovih podataka“, objašnjava Ben Foland iz organizacije „Ctrl Alt Intel“. Interesovanje za Srbiju zbog tvrdnji o izvozu oružja u Ukrajinu Hakerska grupa „Fancy Bear“ u pojedinim napadima radi u saradnji sa drugom grupom poznatom kao „Midnight Blizzard“, što je moglo da se vidi prilikom forenzičke analize hakerskog napada na srpsku nevladinu organizaciju Beogradski centar za bezbjednosnu politiku tokom jeseni prošle godine. U tom napadu, hakeri su pristupili dijelu arhive i pročitali više od 28 hiljada mejl prepiski srpske organizacije koja skoro 25 godina prati reforme u sektoru bezbjednosti i aktivno je uključena u komunikaciju sa brojnim evropskim institucijama. Vlade SAD i Velike Britanije „Midnight Blizzard“ povezuju sa Spoljnom obavještajnom službom Ruske Federacije (SVR). Srbija je bila predmet interesovanja SVR-a tokom maja i juna 2025. godine kada su izdata dva saopštenja sa oštrim kritikama zbog tvrdnji da Beograd izvozi municiju u Ukrajinu. Koje je podatke iznosila ruska služba? “Prema informacijama koje je SVR dobio, srpske odbrambene kompanije, uprkos deklarisanoj ‘neutralnosti’ Beograda, nastavljaju da isporučuju municiju Kijevu. Jednostavna šema koja uključuje falsifikovane sertifikate krajnjeg korisnika i posredničke zemlje služi kao paravan za ove antiruske aktivnosti“, saopštila je ruska služba 28. maja 2025. godine. U saopštenju su navedene i zemlje posrednici, ali i srpske kompanije koje vrše izvoz, kao što su Jugoiport SDPR, Zenitprom, Krušik, Sofag, Reyer DTI, Sloboda, Prvi Partizan. Predsjednik Srbije Aleksandar Vučić tada je rekao da je sa ruskim liderom Vladimirom Putinom razgovarao o srpskom izvozu oružja u Ukrajinu tokom posjete Moskvi 9. maja, i da je negirao neke od navoda SVR-a. „Formirali smo radnu grupu, zajedno sa ruskim partnerima, kako bismo utvrdili činjenice. Neke od izrečenih stvari nijesu tačne“, rekao je tada Vučić. Mjesec dana kasnije uslijedilo je još jedno saopštenje ruskog SVR-a. “Prema dobijenim informacijama, valjevski ‘Krušik’ je nedavno prodao više velikih serija kompleta za sklapanje raketa kalibra 122 mm češkoj kompaniji ‘Poličské strojírny’. Odbrambeno preduzeće ‘Eling’ iz Loznice isporučilo je bugarskoj kompaniji ‘EMKO’ proizvodne komplete za iste te rakete, kao i mine za minobacače kalibra 120 mm“, navela je ruska služba 23. juna 2025. Predsjednik Srbije je tada odgovorio zaustavljanjem izvoza municije iz Srbije. “Pošto smo vidjeli, pojavilo se u Ukrajini (municija), pojavilo se i sa jedne i sa druge strane, žale se i jedni i drugi. Da promijenim nešto, mogu samo na ovakav način – da kažem, sva municija neko vrijeme samo u naše kasarne“, rekao je Vučić. Precizni podaci o tome šta od naoružanja i vojne opreme i u kojim količinama Srbija izvozi u Ukrajinu, Izrael i druge države nijesu javno dostupni, a resorno ministarstvo posljednjih godina na svom sajtu ne objavljuje godišnje izvještaje o izdatim dozvolama za izvoz. Ko je sve bio na meti napada? „FancyBear“ je uspješno kompromitovao vladine i vojne entitete širom Ukrajine, Rumunije, Bugarske, Grčke, Srbije i Sjeverne Makedonije – što je uključivalo i imejl adrese povezane sa četiri zemlje članice NATO-a, navodi se u izvještaju organizacije „Ctrl Alt Intel“. Na serverima hakerske grupe pronađeno je više od 2.800 imejlova izvučenih iz vladinih i vojnih baza. Ukradeno je više od 240 kompleta korisničkih podataka, uključujući lozinke i kodove za dvofaktorsku verifikaciju, a sa 140 adresa je tiho preusmjeravan svaki dolazni imejl na imejl pod kontrolom napadača, navodi se u ovom izvještaju. Iz adresara žrtava izvučeno je više od 11.500 imejl adresa, čime su mapirane kompletne komunikacione mreže, dodaju iz „Ctrl Alt Intel“.