Російські хакери зламали десятки поштових скриньок працівників САП та АРМА
- Російські хакери зламали понад 170 електронних поштових скриньок працівників українських правоохоронних органів, зокрема САП та АРМА.
- Кібератака тривала з вересня 2024 до березня 2026 року, залишивши дані у відкритому доступі, що дозволило виявити їх аналітичній групі Ctrl-Alt-Intel.
Російські хакери здійснили масштабну кібератаку на українські державні структури, зламавши понад 170 електронних поштових скриньок працівників правоохоронних органів. Під ударом опинилися, зокрема, Спеціалізована антикорупційна прокуратура та Агентство з розшуку та управління активами.
У коментарі 24 Каналу в АРМА підтвердили факт кібератаки на електронні поштові скриньки українських правоохоронців, однак деталі поки не розголошують.
Дивіться також Хакери злили тисячі секретних файлів поліції Лос-Анджелеса
Що відомо про кібератаку?
Хакери пов'язані з Росією зламали щонайменше 284 скомпрометовані акаунти у різних країнах. Серед основних цілей були посадовці, які займаються розслідуваннями корупції та колабораціонізму. Зокрема, постраждали облікові записи співробітників антикорупційних та правоохоронних органів, а також навчальних установ для прокурорів.
Як повідомляє Reuters, хакери випадково залишили викрадені дані у відкритому доступі на сервері. Це дозволило їх виявити аналітичній групі Ctrl-Alt-Intel, до якої входять британські та американські фахівці.
За словами дослідників, це стало "серйозною оперативною помилкою" з боку хакерів. У відкритому доступі опинилися журнали атак, а також тисячі викрадених електронних листів.
Кібератака тривала щонайменше з вересня 2024 року до березня 2026 року. Серед постраждалих – представники антикорупційних органів, зокрема керівництво АРМА та високопосадовці САП. Також під ударом опинилися співробітники Центру підготовки прокурорів у Києві та інші державні установи. В окремих випадках хакери могли отримати доступ до чутливої службової інформації.
Крім того, зламали й електронні адреси медичних і муніципальних установ, зокрема лікарні в Покровську.
Українська команда реагування на кіберінциденти CERT-UA вже знає про атаку та розслідує окремі епізоди. Частину фактів, оприлюднених у медіа, раніше вже фіксували фахівці. За оцінками експертів, метою зламу могло бути отримання компрометуючих матеріалів або випередження українських слідчих у викритті російських агентів.
Окрім України, кібератака зачепила й інші країни. Хакери отримали доступ до поштових скриньок у державних і оборонних структурах Румунії, Греції, Сербії та Болгарії.
Що ще нещодавно атакували російські хакери?
Російські хакери, пов’язані з військовою розвідкою, здійснили кібератаку на Державне агентство водних ресурсів України в межах кампанії Operation GhostMail. За даними фахівців, за атакою стоїть угруповання APT28, яке вже неодноразово атакувало державні установи різних країн.
Зловмисники використали вразливість у поштовій системі Zimbra, що дозволило їм впровадити шкідливий JavaScript-код прямо в тіло електронних листів. Атака відрізнялася від класичних фішингових схем, адже не містила підозрілих вкладень чи посилань.
Кампанія стартувала у січні 2026 року з розсилки листів, замаскованих під запити щодо стажування. Для цього хакери використали зламаний акаунт студента Національної академії внутрішніх справ.
Попри те, що розробники Zimbra виправили цю помилку ще у 2025 році, багато установ не оновили свої системи. Хакери скористалися цим, додавши спеціальний "шум" у код, щоб обійти фільтри безпеки. У результаті атаки зловмисники отримали доступ до логінів, паролів, кодів двофакторної автентифікації та архівів листування. Вони також намагалися закріпитися в системі, створюючи додаткові паролі та активуючи протокол IMAP.
Викрадені дані передавалися через захищені HTTPS-з’єднання та DNS-запити, що ускладнювало їх виявлення. Для цього використовували підконтрольні домени, через які інформація виводилася за межі системи.