Масштабная кампания российского кибершпионажа стала достоянием общественности из-за нелепой ошибки самих исполнителей. Группа хакеров, связанная с российскими спецслужбами, случайно оставила открытым доступ к своему серверу. Это позволило исследователям из британо-американского коллектива Ctrl-Alt-Intel изучить журналы операций и тысячи украденных писем, проливающих свет на методы работы Москвы в период с сентября 2024 года по март 2026 года.

Основной удар пришелся на государственные структуры Украины. Хакеры взломали более 170 учетных записей прокуроров и следователей. Особый интерес для шпионов представляли ведомства, ответственные за внутреннюю чистку рядов и борьбу с предателями: Спецпрокуратуру в сфере обороны, которая выявляет шпионов и коррупционеров в рядах ВСУ, и Специализированную антикоррупционную прокуратуру, которая вела громкие дела, ставшие причиной громких отставок (включая уход Андрея Ермака в ноябре 2025 года).

Кроме того атакам подверглись Агентство по розыску и менеджменту активов - это ведомство управляет имуществом, конфискованным у российских коллаборационистов, и Тренинговый центр прокуроров.

Эксперты полагают, что Москва преследовала две цели: либо играть «на опережение», узнавая о ходе расследований против своих агентов, либо собирать компромат на киевскую верхушку.

Хотя Украина была основным вектором атаки, «щупальца» шпионской сети распространились и на страны НАТО. Данные показывают, что близость к России или даже союзнические отношения не гарантируют безопасности от ее разведки.

Скомпрометировано 67 аккаунтов ВВС Румынии, включая данные авиабаз НАТО и почту высокопоставленного офицера. Под удар попал Генеральный штаб национальной обороны. Взломаны почтовые ящики военных атташе в Индии и Боснии, а также Центр психического здоровья вооруженных сил. В Болгарии хакеры атаковали чиновников в Пловдиве (ранее этот регион уже фигурировал в отчетах о сбоях навигации GPS перед визитом главы Еврокомиссии Урсулы фон дер Ляйен). В Сербии, несмотря на традиционно дружественные отношения с Москвой, сербские военные и ученые также оказались в списке жертв взлома.

Исследователи из Ctrl-Alt-Intel характеризуют ситуацию как «огромный оперативный промах». Хакеры буквально «оставили парадную дверь широко открытой», позволив специалистам заглянуть внутрь «кухни» российского шпионажа.

Хотя аналитики компаний ESET и TrendAI подтверждают связь атаки с Москвой, мнения о конкретных исполнителях разошлись. Часть экспертов прямо указывает на известную группировку Fancy Bear, другие же считают, что это работа другой структуры в рамках общей экосистемы российского кибершпионажа.

Ранее на прошлой неделе Агентство национальной безопасности США и другие федеральные ведомства заявили, что российское разведывательное управление ГРУ использует маршрутизаторы по всему миру для перехвата и кражи конфиденциальной военной, правительственной информации и информации о критической инфраструктуре. Другие киберпреступники, известные как APT28 или Fancy Bear, работающие на российских военных, «собирают учетные данные и используют уязвимые маршрутизаторы по всему миру».

Одна из таких сетей, в которой использовались маршрутизаторы для малых офисов и домашних офисов (SOHO), была недавно обнаружена ФБР.

«Российские киберпреступники из 85-го Главного центра специальных операций ГРУ (85th GTsSS), также известные как APT28, Fancy Bear и Forest Blizzard, собирали учетные данные и использовали уязвимости маршрутизаторов по всему миру, в том числе взламывали маршрутизаторы TP-Link с помощью CVE-2023-50224. ГРУ без разбора взламывало данные широкого круга американских и международных жертв, особенно нацеленных на информацию, связанную с военной, правительственной и критической инфраструктурой», - заявило АНБ.

Ольга Божкова