Vlada Severne Makedonije navela je nije bilo zvaničnog sajber incidenta, nakon što su tragovi ruske hakerske grupe "Fancy Bear" – koju američke i britanske institucije povezuju s ruskom vojnoobaveštajnom službom GRU – pronađeni u elektronskim adresama povezanim s domenima makedonske vlade, Vojske Severne Makedonije i Ministarstva odbrane.
Grupa međunarodno povezanih nezavisnih stručnjaka za sajber bezbednost Crtl Alt Intel navela je u izveštaju da je sredinom marta uspela da pristupi folderima na serveru ruske hakerske grupe i da je Fancy Bear kompromitovao vladine i vojne subjekte širom Severne Makedonije, Ukrajine, Rumunije, Bugarske, Grčke i Srbije – uključujući elektronske adrese povezane s četiri članice NATO-a.
U izveštaju se navodi da je imejl s domenom gov.mk takođe kompromitovala ruska hakerska grupa.
Makedonska vlada je na upit RSE da li je njena elektronska pošta hakovana i da li je takav napad prijavljen Nacionalnom centru za odgovor na kompjuterske incidente MKD-CIRT, odgovorila da da nema zvaničnog sajber incidenta, već samo pominjanja adresa elektronske pošte koje se smatraju javno dostupnim podacima, a ne lozinki ili sličnih poverljivih informacija.
"U vesti, odnosno izveštaju, pominju se imejl adrese, ali ne i kredencijali, koje hakeri kontinuirano prikupljaju (često iz javno dostupnih izvora) za potencijalne buduće napade. Shodno tome, kao i u okviru nadležnosti Generalnog sekretarijata Vlade, Nacionalnom CIRT-u nije prijavljen incident. Vlada preduzima kontinuirane aktivnosti na poboljšanju sajber bezbednosti i proaktivno prati sve informacije", odgovorila je Vlada za RSE.
Registracija lažnog domena govmk.com
Dan nakon što je RSE ukazao Vladi Severne Makedonije na nalaze u izveštaju, deo koji se odnosi na kompromitovanu vladinu elektronsku poštu nestao je iz prvobitno objavljene verzije.
Ben Foland, istraživač u Ctrl Alt Intelu, objasnio je za RSE da je reč o grešci objavljenoj na blogu.
"Severna Makedonija je bila snažna meta Fensi Bera, oni čak su registrovali domen govmk.com da bi se predstavljali kao MK za upotrebu u fišing kampanjama. U dnevniku žrtava videli smo žrtvu s domenom mail.govmk.com. Naveli smo da je bila jedna žrtva s gorepomenutog domena, iako to nije bila stvarna žrtva iz Severne Makedonije. Videli smo žrtve iz MK preko proksija na drugim mestima u kampanji", rekao je Foland.
Međutim, u izveštaju je ostalo navedeno sedam adresa, od kojih je pet povezano s Vojskom Severne Makedonije (mil.mk) i dve s Ministarstvom odbrane (mod.gov.mk). Obrazloženje je da su izvučene iz "liste kontakata" koja pripada stvarnim žrtvama tog napada.
"To pokazuje da su makedonske imejl adrese izvučene s liste kontakata drugih stvarnih žrtava. One dolaze iz grčkog Ministarstva odbrane", objasnio je Foland.
Makedonsko Ministarstvo odbrane navodi da stručna lica 24 sata dnevno prate bezbednosnu situaciju domena Ministarstva odbrane i Vojske.
"Do ovog trenutka Ministarstvo odbrane i Vojska nemaju podatke o curenju informacija iz imejlova ministarstva i Vojske. Podatak da su identifikovani mejlovi na domenima mil.mk i mod.gov.mk ne mora da znači da su napadnuti", navelo je Ministarstvo odbrane.
Ministarstvo je u izjavi za RSE dodalo da se u pomenutom tekstu ne pominje konkretna kampanja, već da su pronađeni folderi hakerske grupe.
"Kao institucije odgovorne u ovom polju, posebno od početka rata u Ukrajini, one su u kontinuitetu podložne sajber napadima (neovlašćeni pristup, fišing napadi itd.) u pokušaju pristupa relevantnim podacima. Radi zaštite od te vrste napada, redovno se sprovodi obuka zaposlenih zajedno sa kolegama iz drugih državnih institucija, kao i uz pomoć savezničkih zemalja", navelo je Ministarstvo odbrane.
Ministarstvo digitalne transformacije navelo je da se u imejl adresama pomenutim u izveštaju ne nalaze kompromitovani kredencijali ili dokazi o neovlašćenom pristupu vladinim sistemima.
"S obzirom na to da nije potvrđen incidenta, nisu evidentirane direktne posledice po informacione sisteme, integritet podataka ili dostupnost usluga. U izveštaju se domeni mil.mk i mod.gov.mk pojavljuju u kontekstu krađe adresara, što znači da se radi o kontakt adresama izvučenim iz adresara, a ne o ugroženim korisničkim nalozima. Međutim, sve relevantne informacije iz otvorenih izvora se kontinuirano prate i analiziraju kao deo proaktivnog monitoringa", odgovorilo je ministarstvo za RSE.
U izveštaju Ctrl Alt Intel navodi da je sredinom marta ta grupa uspela da pristupi folderima na serveru ruske hakerske grupe.
Na serverima hakerske grupe pronađeno je više od 2.800 imejlova, izvučenih iz vladinih i vojnih baza. Ukradeno je više od 240 kompleta korisničkih kredencijala, uključujući lozinke i kodove za dvofaktorsku autentifikaciju, a 140 adresa je tiho preusmereno na imejl adresu koju kontrolišu napadači, navodi se u izveštaju.
Više od 11.500 imejl adresa izvučeno je iz adresa žrtava, mapirajući čitave komunikacione mreže, dodao je Ctrl Alt Intel.
Na meti hakerske grupe povezane s ruskom vojnoobaveštajnom službom našlo se i Ministarstvo odbrane Srbije.
Na serverima Fancy Beara su, prema podacima Ctrl Alt Intela, pronađeni dokaze da su, između ostalog, ruski hakeri prikupljali podatke s imejl adresa iz tri srpske državne institucije.