Пов’язані з Росією хакери протягом останніх кількох місяців зламали понад 170 електронних поштових акаунтів прокурорів і слідчих по всій Україні. Про це свідчать дані, з якими ознайомилося агентство Reuters.
Дані випадково опинилися у відкритому доступі через помилку самих хакерів і були виявлені групою дослідників кіберзагроз Ctrl-Alt-Intel із Великої Британії та США. За їхніми словами, залишена на сервері інформація — зокрема журнали успішних атак і тисячі викрадених листів — свідчить, що в період із вересня 2024 року до березня 2026 року було скомпрометовано щонайменше 284 поштові скриньки.
Більшість жертв — в Україні, але частина — у сусідніх країнах НАТО та на Балканах. Операцію вперше описали минулого місяця у блозі Ctrl-Alt-Intel, а Reuters вперше публікує деталі зламу, зокрема імена понад десятка європейських установ і посадовців. Дослідники назвали витік «рідкісною можливістю» зазирнути в механіку російської шпигунської кампанії.
«Хакери допустили серйозну операційну помилку — фактично залишили вхідні двері відчиненими», — зазначили в Ctrl-Alt-Intel.
Посольство Росії у Вашингтоні не відповіло на запити про коментар. Москва неодноразово заперечувала причетність до хакерських атак проти інших країн.
Ctrl-Alt-Intel пов’язує кампанію з угрупованням Fancy Bear — відомою російською військовою хакерською групою. Водночас двоє незалежних експертів — Маттьє Фау з компанії ESET і Фейке Хаккеборд із TrendAI — погодилися, що атаки мають російське походження, але не дійшли згоди щодо участі саме Fancy Bear.
За словами експерта Chatham House Кіра Джайлза, хакери могли атакувати українські правоохоронні органи, щоб випереджати слідчих, які викривають російських агентів, або збирати компрометуючу інформацію про українських посадовців.
Згідно з даними, зламу зазнали акаунти Спеціалізованої прокуратури у сфері оборони, яка під час війни займається боротьбою з корупцією та викриттям шпигунів у ЗСУ. Також атаковано Агентство з розшуку та менеджменту активів (АРМА) та Тренінговий центр прокурорів у Києві.
Серед жертв — тодішня керівниця АРМА Ярослава Максименко. У Тренінговому центрі прокурорів зламали поштові скриньки 44 співробітників, включно із заступником директора Олегом Дукою.
Також хакери, ймовірно, отримали доступ до даних щонайменше одного високопосадовця Спеціалізованої антикорупційної прокуратури (САП), яка розслідувала резонансні корупційні справи, зокрема ту, що призвела до відставки головного переговірника президента Володимира Зеленського Андрія Єрмака в листопаді.
АРМА, САП і згадані посадовці не відповіли на запити про коментар. Урядова команда реагування на комп’ютерні надзвичайні події повідомила, що знає про атаку і вже розслідувала частину інцидентів.
За словами експерта ESET Маттьє Фау, виявлена операція — лише «невелика частина активності» ширшої екосистеми російського кібершпигунства.
Дані свідчать, що хакери зламали пошту Центральної міської лікарні в Покровську, а також фінансового комітету міста.
Атаки також зачепили десятки посадовців у країнах НАТО. У Румунії було скомпрометовано щонайменше 67 поштових акаунтів ВПС, зокрема на базах НАТО та одного високопоставленого офіцера. У Греції зламали 27 скриньок Генерального штабу національної оборони, включно з аташе в Індії та Боснії.
У Болгарії хакери отримали доступ до щонайменше чотирьох акаунтів місцевих чиновників у Пловдивській області. У Сербії — традиційному союзнику Росії — атаки також зачепили науковців і військових.
«Навіть тісні відносини з Москвою не гарантують захисту від російського шпигунства», — підсумував Джайлз.