РСЕ: Руски хакери 'Фанци Беар' напали Министарство одбране Србије
Трагови руске хакерске групе "Фанци Беар" коју америчке и британске државне институције повезују са руском војном обавештајном службом ГРУ, нађени су у Министарству одбране Србије, Војној академији и Војномедицинској академији (ВМА), пише данас Радио Слободна Европа (РСЕ).
То је утврдила група независних стручњака за сајбер безбедност "Цтрл Алт Интел" која је средином марта успела да приступи фолдерима на серверу руске хакерске групе.
Подаци до којих су дошли показују да је могуће идентификовати шест имејл налога Министарства одбране који су хаковани.
Министарство одбране Србије до објављивања текста није одговорило на питања РСЕ од четвртка 19. марта у вези са сазнањима да су компромитовани подаци.
Сајбер напад није пријављен ни Поверенику за информације од јавног значаја и заштиту података о личности, како је то српским законима предвиђено, пише у тексту.
У допису РСЕ, национални ЦЕРТ Републике Србије, централно тело задужено за превенцију, заштиту и одговор на безбедносне ризике у информационим системима, такође наводи да нема податке о овом нападу.
У извештају организације "Цтрл Алт Интел" пише, међутим, да подаци до којих су дошли показују да је могуће идентификовати шест различитих имејл налога Министарства одбране који су хаковани, а где су нападачи успели да дођу и до заштите за додатну потврду пријаве (такозвана двостепена верификација).
Код четири налога су подесили аутоматско прослеђивање мејлова на друге адресе, тако да су нападачи могли да прате сву пристиглу пошту.
Расположиви подаци немају ознаке датума, па није могуће утврдити када се иницијални напад десио.
"Ово је могло да траје још од октобра 2024. године. Постоји могућност да су ове имејл адресе и даље компромитоване и да и данас прослеђују имејлове на 'ФанциБеар' адресе", каже за РСЕ Бен Фоланд (Фолланд) истраживач у организацији "Цтрл Алт Интел".
"Фанци Беар" је хакерска група која је активна најмање 10 година. Познати су под више назива, између осталог, и као "АПТ28" или као "Форест Близзард", како их у својим базама води технолошка компанија Мајкрософт (Мицрософт).
Британски државни Национални центар за сајбер безбедност у истраживањима процењује да је "'АПТ28' готово сигурно део Главне обавештајне управе (ГРУ) Генералштаба Русије".
Припадници ове хакерске групе директно су идентификовани као официри ГРУ у оптужници коју је америчко Министарство правде 2018. године подигло против 12 припадника ГРУ због хаковања Демократског националног комитета, Демократског конгресног комитета и предизборне кампање кандидаткиње за председницу САД Хилари Клинтон (Хиллари Цлинтон), преноси РСЕ.
Како се наводи на сајту Мицрософта, ова руска хакерска група по правилу напада владе, невладине организације, ИТ компаније и универзитете, а напади су забележени у Америци, Аустралији, Канади, Индији, Украјини, Израелу и Јапану.
Као један од начина на који ова група функционише идентификован је улазак у информационе системе преко такозваног спер фишинга (спеар пхисхинг).
Ради се о циљаном слању порука у којем нападач прилагођава поруку тако да изгледа као да долази од поуздане особе или организације, често користећи личне податке о жртви.
Циљ је да жртва буде преварена како би преузела злонамерни фајл и омогућила приступ системима са којих нападачи онда скидају садржај са интерних сервера.
У вези с нападом на државне институције Србије, стручњаци групе "Цтрл Алт Интел" су идентификовали шест компромитованих имејл налога у самом Министарству одбране и по један из система Војне академије и ВМА.
Прикупљено је 248 контаката са којима је са ових имејл налога комуницирано.
"Са ових имејл адреса српског Министарства одбране контактиране су друге адресе, укључујући више њих унутар самог српског Министарства одбране, али и европске војне и одбрамбене структуре. 'ФанциБеар' је успео да извуче листе контаката са својих почетних мета у српском Министарству одбране како би дошао до ових података", објашњава Бен Фоланд из организације "Цтрл Алт Интел".
Хакерска група "Фанци Беар" у појединим нападима ради у сарадњи са другом групом познатом као "Миднигхт Близзард", што је могло да се види приликом форензичке анализе хакерског напада на невладину организацију Београдски центар за безбедносну политику током јесени прошле године.
У том нападу, хакери су приступили делу архиве и прочитали више од 28 хиљада мејл преписки те организације која скоро 25 година прати реформе у сектору безбедности и активно је укључена у комуникацију са бројним европским институцијама.
Владе САД и Велике Британије "Миднигхт Близзард" повезују са Спољном обавештајном службом Руске Федерације (СВР).
Србија је била предмет интересовања СВР-а током маја и јуна 2025. године када су издата два саопштења са оштрим критикама због тврдњи да Београд извози муницију у Украјину.
"По информацијама које је СВР добио, српске одбрамбене компаније, упркос декларисаној 'неутралности' Београда, настављају да испоручују муницију Кијеву. Једноставна шема која укључује фалсификоване сертификате крајњег корисника и посредничке земље служи као параван за ове антируске активности", саопштила је руска служба 28. маја 2025. године.
У саопштењу су наведене и земље посреднице, али и српске компаније које врше извоз, као што су Југоимпор СДПР, Зенитпром, Крушик, Софаг, Реиер ДТИ, Слобода, Први Партизан.
Председник Србије Александар Вучић тада је рекао да је током посете Москви 9. маја с председником Русије Владимиром Путином разговарао о извозу оружја из Србије у Украјину и да је негирао неке од навода СВР-а.
"Формирали смо радну групу, заједно са руским партнерима, како бисмо утврдили чињенице. Неке од изречених ствари нису тачне", рекао је тада Вучић.
Месец дана касније уследило је још једно саопштење руског СВР-а:
"По добијеним информацијама, ваљевски 'Крушик' је недавно продао више великих серија комплета за склапање ракета калибра 122 мм чешкој компанији 'Поличскé стројíрни'. Одбрамбено предузеће 'Елинг' из Лознице испоручило је бугарској компанији 'ЕМКО' производне комплете за исте те ракете, као и мине за минобацаче калибра 120 мм", навела је та руска служба 23. јуна 2025.
Председник Србије је тада одговорио заустављањем извоза муниције из Србије, пише РСЕ.
Прецизни подаци о томе шта од наоружања и војне опреме и у којим количинама Србија извози у Украјину, Израел и друге државе нису јавно доступни, а ресорно министарство последњих година на сајту не објављује годишње извештаје о издатим дозволама за извоз.
РСЕ преноси да је "ФанциБеар" успешно компромитовао владине и војне ентитете широм Украјине, Румуније, Бугарске, Грчке, Србије и Северне Македоније што је укључивало и имејл адресе повезане са четири земље чланице НАТО-а, наводи се у извештају организације "Цтрл Алт Интел".
На серверима те хакерске групе је нађено више од 2.800 имејлова извучених из владиних и војних база. Украдено је више од 240 комплета корисничких података, укључујући лозинке и кодове за двофакторску верификацију, а са 140 адреса је тихо преусмераван сваки долазни имејл на имејл под контролом нападача, наводи се у том извештају.
Из адресара жртава извучено више од 11.500 имејл адреса, чиме су мапиране комплетне комуникационе мреже, каже "Цтрл Алт Интел", преноси РСЕ.
(Бета, 23.03.2026)
