Çfarë informacionesh mbledhin hakerët shtetërorë rusë në Serbi?

Mesazh në aplikacionin Signal... dhe hapja e një linku për një të ashtuquajtur video-thirrje.

Në këtë mënyrë, Qendra e Beogradit për Politika të Sigurisë u bë viktimë e grupeve të hakerëve rusë, konstatoi një analizë e kryer nga një prej kompanive më të mëdha IT në botë, për këtë organizatë joqeveritare serbe.

Bëhet fjalë për grupe hakerësh, të cilat qeveritë e Shteteve të Bashkuara të Amerikës dhe Britanisë së Madhe i kanë lidhur më herët me strukturat inteligjente dhe të sigurisë në Rusi.

Gjatë sulmit, hakerët kanë pasur qasje në një pjesë të arkivit dhe kanë lexuar më shumë se 28 mijë emaile të organizatës serbe, e cila, për gati 25 vjet, ndjek reformat në sektorin e sigurisë dhe është e përfshirë në komunikime me shumë institucione evropiane.

“Lista jonë e partnerëve ndërkombëtarë dhe të huaj është shumë e madhe”, thotë për Radion Evropa e Lirë drejtori i Qendrës së Beogradit për Politika të Sigurisë (BCBP), Igor Bandoviq.

Ai shton se llogaritë e punonjësve të BCBP-së u përdorën për të zgjeruar më tej operacionin e hakerimit nga dy grupet ruse.

Sipas raportit të kompanisë amerikane teknologjike, Microsoft, njëri prej tyre lidhet me Shërbimin e Inteligjencës së Jashtme të Rusisë (SVR), ndërsa tjetri me Shërbimin Ushtarak të Inteligjencës (GRU) të Rusisë.

Të dyja grupet, sipas faqes zyrtare të Microsoft-it, kanë në shënjestër qeveritë, institucionet diplomatike, organizatat joqeveritare dhe kompanitë IT në mbarë botën.

“Sulmuesit përdorin çdo metodë të mundshme për të fituar qasje në emaile, skedarë dhe mesazhe të ndjeshme”, thotë për Radion Evropa e Lirë drejtori i kompanisë amerikane për siguri kibernetike Volexity, Steven Adair, i cili është marrë edhe me sulmin ndaj BCBP-së.

Ai shton se organizatat e shoqërisë civile në Serbi, me siguri, “do të vazhdojnë të jenë caqe, për shkak të punës dhe ekspertizës së tyre në fusha që lidhen me Rusinë, Ukrainën dhe sigurinë në Evropë”.

“Mesazhi që mora nuk dukej aspak i dyshimtë”, thotë për Radion Evropa e Lirë Bandoviq.

Në korrik të vitit të kaluar, një person i prezantuar si politikani opozitar bjellorus, Sergej Tihanovski - bashkëshorti i politikanes opozitares në mërgim, Svetlana Tihanovska - i dërgoi Bandoviqit mesazh, duke i kërkuar një video-thirrje për të diskutuar për situatën politike në Ballkanin Juglindor.

Më vonë, analiza forenzike tregoi se ky mesazh ishte një nga pikat fillestare të sulmit të hakerëve rusë, që synonin të merrnin kontrollin mbi infrastrukturën e BCBP-së dhe të zgjeronin aktivitetet e tyre më tej.

Bandoviq pyeti se nga e kishte marrë kontaktin e tij personi që i drejtohej. Kur iu tha se përmes një kolegu nga Rumunia, ai nuk kishte arsye të dyshonte në autenticitetin e bisedës.

Komunikimi u zhvillua përmes aplikacionit Signal, i njohur për privatësinë dhe transmetimin e enkriptuar të të dhënave, ku përdoruesit lidhen përmes numrave të telefonit ose emrave.

Mesazhit i ishte bashkëngjitur edhe një link për video-thirrje.

Në kohën e caktuar të takimit, Bandoviq kopjoi linkun në shfletuesin e internetit.

Video-thirrja nuk u aktivizua, por hakerëve ua hapi derën drejt pothuajse gjithë komunikimit të punonjësve të BCBP-së.

Ky është një shembull i “spear phishing”, ose sulmit të shënjestruar, në të cilin sulmuesi bën që mesazhi të duket sikur vjen nga një person ose organizatë e besueshme - shpesh duke përdorur të dhëna personale të viktimës.

Qëllimi është që viktima të zbulojë informacion konfidencial, të hapë një skedar të dëmshëm ose të mundësojë qasje në sistemet kompjuterike.

Katër muaj më vonë, në nëntor, Microsoft Threat Intelligence Center, një ekip i specializuar i kompanisë Microsoft për sigurinë digjitale, e informoi BCBP-në se kishte qenë viktimë e një sulmi kibernetik.

Një nga kompanitë më të mëdha të teknologjisë informative në botë, që kërkoi të mbetej anonime, por identiteti i së cilës është i njohur për REL-in, realizoi një analizë forenzike dhe identifikoi dy grupe hakerësh - “Midnight Blizzard” (Stuhia e Mesnatës) dhe “Forest Blizzard” (Stuhia e Pyllit) - si autorë të këtyre sulmeve.

Grupi “Midnight Blizzard” njihet nga kompania Microsoft dhe është aktiv së paku që nga viti 2018.

Sipas Microsoft-it, ky grup operon nga Rusia.

Qeveritë e SHBA-së dhe Britanisë së Madhe e lidhin atë me Shërbimin e Jashtëm Inteligjent të Rusisë (SVR).

Grupi njihet për sulmet ndaj qeverive, institucioneve diplomatike, organizatave joqeveritare dhe kompanive të IT-së, kryesisht në SHBA dhe Evropë.

Qëllimi i tij, sipas Microsoft-it, është “mbledhja e informacionit inteligjent përmes spiunazhit”.

Grupi tjetër, “Forest Blizzard”, lidhet me Shërbimin Ushtarak Inteligjent të Rusisë, GRU.

Disa anëtarë të tij janë identifikuar drejtpërdrejt si oficerë të GRU-së në aktakuzën që Departamenti amerikan i Drejtësisë ka ngritur në vitin 2018 ndaj 12 anëtarëve të GRU-së, për hakimin e Komitetit Kombëtar Demokrat, komitetit të Kongresit Demokrat dhe fushatës së kandidates për presidente të SHBA-së, Hillary Clinton.

Qëllimi i tij ishte “ndikimi në zgjedhjet presidenciale të SHBA-së në vitin 2016”.

Sipas aktakuzës, GRU kryente sulme masive “spear phishing” ndaj anëtarëve të fushatës së Clintonit, duke siguruar qasje në dhjetëra mijëra emaile.

Pas sulmeve të suksesshme, ata hakuan kompjuterët e institucioneve që drejtonin fushatën, vodhën dokumente dhe fjalëkalime dhe monitoruan në fshehtësi punën e punonjësve.

Ky rast nuk përfundoi në gjykim, pasi të gjithë të akuzuarit nuk ishin të disponueshëm për autoritetet amerikane.

Sipas Microsoft-it, shënjestra të sulmeve të këtij grupi rus janë qeveritë, organizatat joqeveritare, kompanitë e IT-së dhe universitetet.

Sulme të ngjashme janë regjistruar në SHBA, Australi, Kanada, Indi, Ukrainë, Izrael dhe Japoni.

Disa prej sulmeve, që përfshijnë paraqitjen e rreme si individë të besueshëm dhe komprometimin e llogarive, janë analizuar nga kompania amerikane për siguri kibernetike, Volexity, nga Uashingtoni.

“Jemi të bindur se këto sulme, që targetojnë individë dhe organizata të angazhuara në çështje që lidhen me Rusinë, Ukrainën dhe sigurinë evropiane, janë vepër e kërcënimeve kibernetike ruse”, thotë për Radion Evropa e Lirë Steven Adair, themelues dhe drejtues i kompanisë Volexity.

Ai shton se aktorët rusë përdorin teknika të avancuara për t’i komprometuar përdoruesit, duke evoluar nga paraqitja e rreme si ambasadorë dhe diplomatë deri te krijimi i faqeve të rreme të konferencave, për të “vjedhur” kredencialet e pjesëmarrësve të mundshëm.

Një analizë forenzike, e kryer nga një kompani e madhe ndërkombëtare e IT-së për BCBP-në serbe, tregoi se gjatë monitorimit vetëm për një muaj - nga fillimi i nëntorit deri në fillim të dhjetorit 2025 - u regjistruan më shumë se 28 mijë qasje në emailet e punonjësve të BCBP-së.

Kjo përfshinte hapjen e mesazheve dhe dokumenteve të dërguara si bashkëngjitje, si dhe qasjen në arkivin dhe korrespondencën e mëparshme me partnerë vendorë dhe ndërkombëtarë, shpjegojnë nga BCBP-ja.

“U regjistruan përpjekje për komunikim shtesë me punonjësit tanë, nga të cilat dukej qartë se, pas hyrjes në sistem, hakerët kishin një pamje praktike të komunikimeve në kohën kur po zhvilloheshin”, thotë Bandoviq.

Operacioni u zgjerua më tej kur grupi i hakerëve krijoi edhe një faqe të rreme, e cila u reklamua si platforma zyrtare për regjistrimin e pjesëmarrësve në Konferencën e Sigurisë në Beograd.

Konferenca, e organizuar nga BCBP-ja, u mbajt nga data 17 deri më 19 nëntor në Beograd.

Ky ishte edicioni i katërt i këtij takimi, që konsiderohet një nga ngjarjet më të mëdha rajonale për çështjet e politikës së jashtme dhe sigurisë, dhe mbledh mbi 500 pjesëmarrës nga Serbia dhe jashtë.

Ngjarja ishte pjesërisht e mbyllur, me pjesëmarrjen e përfaqësuesve politikë, diplomatëve, ekspertëve dhe përfaqësuesve të organizatave ndërkombëtare.

Një analizë tjetër forenzike nga kompania amerikane, Volexity, tregoi se mysafirët dhe pjesëmarrësit u orientuan me email drejt faqes së rreme, me qëllim që “infiltrimi të përhapej te pjesëmarrësit ndërkombëtarë, përfaqësuesit e qeverive, organizatave ndërkombëtare, komunitetit akademik dhe shoqërisë civile”.

“Para konferencës, institucionet e Bashkimit Evropian dërguan një paralajmërim për një fushatë ‘spear phishing’ që përhapej nga llogaritë e rreme të Konferencës së Beogradit dhe shënjestronte partnerët tanë në BE dhe Amerikën e Veriut”, tregon Bandoviq.

Ai shton se një nga qëllimet ishte që të huajt të mos vinin në Beograd, ndërsa qëllim tjetër spiunazhi.

Në BCBP thonë se, edhe gjashtë muaj pas sulmit, është e vështirë të vlerësohet dëmi i shkaktuar.

“Na kontaktuan partnerë nga dy organizata - një nga Evropa dhe një nga Shtetet e Bashkuara - që thanë se kishin marrë emaile ‘phishing’ nga adresat tona. Por, kjo do të thotë se ata i njohën ato. Se sa organizata dhe individë nuk e kuptuan këtë aktivitet hakerësh, nuk mund ta dimë ende”, thotë Bandoviq.

Adair thotë për Radion Evropa e Lirë se “përmasat e këtyre sulmeve duken mjaft të mëdha”.

“Aktorët rusë krijuan një faqe tërësisht të rreme, që imitonte Konferencën e Sigurisë në Beograd, dhe sulmonin drejtpërdrejt njerëz që mund të merrnin pjesë ose të ishin të interesuar të flisnin aty. Kjo jep informacion të rëndësishëm mbi aktivitetin në Serbi, që tërheq vëmendjen e sulmuesve”, thotë Adair.

Analiza forenzike tregoi se kjo organizatë joqeveritare ishte cak i hakimeve ruse që nga vera e vitit 2024.

Që nga shtatori i atij viti, sipas analizës, ishte komprometuar llogaria e administratorit përmes VPN-it, duke u dhënë sulmuesve qasje në serverët e BCBP-së që përdoren për punë nga distanca.

Bandoviq thotë se sulmet nuk janë raportuar në Prokurorinë për Krimet Teknologjike në Serbi, sepse “nuk kanë besim në një hetim të paanshëm”.

Organizata doli publikisht me të gjitha të dhënat për t’i paralajmëruar viktimat potenciale, thotë Bandoviq, dhe në fillim të dhjetorit largoi të gjitha kërcënimet nga sistemi i saj.

Në vitin 2019, Departamenti amerikan i Shtetit e përshkroi Serbinë, e cila synon të anëtarësohet në BE, si një vend me “mjedisin më të depërtueshëm” për ndikimin rus në Ballkanin Perëndimor.

Beogradi - edhe pas pushtimit rus të Ukrainës dhe sanksioneve perëndimore ndaj Moskës - mbeti një nga partnerët e paktë evropianë të Kremlinit.

Të dyja shtetet kanë vazhduar edhe bashkëpunimin në fushën e inteligjencës.

Në shtator të vitit 2025 u zbulua se shërbimet ruse në perëndim të Serbisë, kishin organizuar kampe stërvitore, ku shtetas moldavianë dhe rumunë, sipas autoriteteve në Kishinjev, përgatiteshin për të shkaktuar trazira gjatë zgjedhjeve në Moldavi.

Autoritetet në Serbi thirrën Shërbimin Federal të Sigurisë së Rusisë (FSB) për t’i hetuar pretendimet se, gjatë një proteste antiqeveritare më 15 mars në Beograd, ishte përdorur një top zanor kundër demonstruesve.

Moska dhe Beogradi, pa ofruar prova, akuzojnë shërbimet perëndimore se qëndrojnë pas protestave masive në Serbi, përmes të cilave kërkohet llogaridhënie për vdekjen e 16 personave në një aksident në Novi Sad.

Bashkëpunimi kundër “revolucioneve me ngjyra” - term i përdorur nga Moska për të përshkruar rrëzimin e regjimeve autoritare në ish-republikat sovjetike - u shpall nga Beogradi dhe Kremlini që në vitin 2021.

Me kreun e atëhershëm të shërbimit inteligjent rus, Nikolaj Patrushev, bisedonte Aleksandar Vulinin, zyrtar prorus në Qeverinë e Serbisë, i cili është në listën e zezë të Shteteve të Bashkuara për bashkëpunim me Rusinë.

Opozitarët rusë e akuzuan Vulinin se i kishte përgjuar në Beograd dhe se informacionet ia kishte transmetuar Kremlinit - gjë që u pasua me arrestimin e tyre në Moskë.

Serbia, gjithashtu, ishte në qendër të akuzave se kishte ofruar strehë për diplomatët rusë, të cilët u dëbuan nga disa vende të BE-së nën dyshimet për spiunazh./ REL