Российские хакеры взломали десятки почтовых ящиков работников САП и АРМА

В комментарии 24 Канала в АРМА подтвердили факт кибератаки на электронные почтовые ящики украинских правоохранителей, однако детали пока не разглашают.

Смотрите также Хакеры слили тысячи секретных файлов полиции Лос-Анджелеса

Что известно о кибератаке?

Хакеры связанные с Россией взломали по меньшей мере 284 скомпрометированы аккаунты в разных странах. Среди основных целей были чиновники, которые занимаются расследованиями коррупции и коллаборационизма. В частности, пострадали учетные записи сотрудников антикоррупционных и правоохранительных органов, а также учебных учреждений для прокуроров.

Как сообщает Reuters, хакеры случайно оставили похищенные данные в открытом доступе на сервере. Это позволило их обнаружить аналитической группе Ctrl-Alt-Intel, в которую входят британские и американские специалисты.

По словам исследователей, это стало "серьезной оперативной ошибкой" со стороны хакеров. В открытом доступе оказались журналы атак, а также тысячи похищенных электронных писем.

Кибератака продолжалась как минимум с сентября 2024 года до марта 2026 года. Среди пострадавших – представители антикоррупционных органов, в частности руководство АРМА и чиновники САП. Также под ударом оказались сотрудники Центра подготовки прокуроров в Киеве и другие государственные учреждения. В отдельных случаях хакеры могли получить доступ к чувствительной служебной информации.

Кроме того, взломали и электронные адреса медицинских и муниципальных учреждений, в частности больницы в Покровске.

Украинская команда реагирования на киберинциденты CERT-UA уже знает об атаке и расследует отдельные эпизоды. Часть фактов, обнародованных в медиа, ранее уже фиксировали специалисты. По оценкам экспертов, целью взлома могло быть получение компрометирующих материалов или опережение украинских следователей в разоблачении российских агентов.

Кроме Украины, кибератака задела и другие страны. Хакеры получили доступ к почтовым ящикам в государственных и оборонных структурах Румынии, Греции, Сербии и Болгарии.

Что еще недавно атаковали российские хакеры?

• Российские хакеры, связанные с военной разведкой, осуществили кибератаку на Государственное агентство водных ресурсов Украины в рамках кампании Operation GhostMail. По данным специалистов, за атакой стоит группировка APT28, которая уже неоднократно атаковала государственные учреждения разных стран.

• Злоумышленники использовали уязвимость в почтовой системе Zimbra, что позволило им внедрить вредоносный JavaScript-код прямо в тело электронных писем. Атака отличалась от классических фишинговых схем, ведь не содержала подозрительных вложений или ссылок.

• Кампания стартовала в январе 2026 года с рассылки писем, замаскированных под запросы о стажировке. Для этого хакеры использовали взломанный аккаунт студента Национальной академии внутренних дел.

• Несмотря на то, что разработчики Zimbra исправили эту ошибку еще в 2025 году, многие учреждения не обновили свои системы. Хакеры воспользовались этим, добавив специальный "шум" в код, чтобы обойти фильтры безопасности. В результате атаки злоумышленники получили доступ к логинам, паролей, кодов двухфакторной аутентификации и архивов переписки. Они также пытались закрепиться в системе, создавая дополнительные пароли и активируя протокол IMAP.

• Похищенные данные передавались через защищенные HTTPS-соединения и DNS-запросы, что затрудняло их обнаружение. Для этого использовали подконтрольные домены, через которые информация выводилась за пределы системы.