Román légierő kompromittálódása
Az orosz katonai hírszerzéshez köthető támadók a román légierő több e-mail fiókját kompromittálták egy 2024 szeptembere és 2026 márciusa között zajló művelet során. A támadás legalább 60 feletti fiókot érintett, amelyek közül mintegy 30 esetében történt tényleges hozzáférés megszerzése.
A kompromittált postafiókok között NATO-kapcsolódású szervezeti egységekhez tartozó címek és magasabb rangú katonai szereplők is megjelentek, ami a támadók részéről strukturált célkijelölést és hírszerzési prioritásokat feltételez. Az ilyen jellegű hozzáférés önmagában is jelentős értéket képvisel, mivel a nem minősített kommunikációból is rekonstruálhatók működési minták, szervezeti kapcsolatok és logisztikai információk.
A kompromittált fiókok nem minősített információkat kezeltek, azonban a hozzáférés lehetővé tette a belső kommunikáció megfigyelését és elemzését. A támadás jellege alapján identity-alapú kiberkémkedési műveletről van szó, amelynek célja információgyűjtés és szervezeti működés feltérképezése volt. Ez lehetővé teszi a kommunikáció folyamatos monitorozását, a célpontok közötti kapcsolati háló feltérképezését, valamint további támadási lehetőségek előkészítését, például további spear-phishing kampányok indításával.
Az incidens egy szélesebb, több európai országot érintő kampány része, amelyet a GRU-hoz köthető APT28 csoporthoz kapcsolnak. Az incidens a Ctrl-Alt-Intel által publikált, több mint 11 000 e-mailt tartalmazó adatállomány elemzéséből vált ismertté. Az adatok több ország – köztük Ukrajna, Románia, Bulgária, Görögország és Szerbia – kormányzati és katonai szervezeteihez tartozó postafiókokból származnak, és NATO-kapcsolódású e-mail címeket is tartalmaznak.
A román légierőt érintő kompromittáció ennek a szélesebb adathalmaznak a részeként azonosítható, ami egy több országra kiterjedő, egységes kiberkémkedési műveletre utal. A kiszivárgott levelezés alapján a támadók tartós hozzáférést szereztek különböző intézményi fiókokhoz, és a megszerzett adatokat központilag gyűjtötték.A romániai eset nem izolált eseményként értelmezhető, hanem egy szélesebb regionális kampány részeként, amely több kelet- és délkelet-európai országot is érintett, összhangban a jelenlegi geopolitikai helyzettel és az orosz hibrid műveleti stratégiával.
A román hatóságok szerint minősített adatok nem szivárogtak ki, az eset kezelése után pedig a kiberbiztonsági felügyeletet megerősítették és központosították.
