De ce au țintit hackerii ruși Forțele Aeriene Române și cât de grav a fost atacul. Ce spune SRI și omite MApN

Redacția

Faptele: O grupare de hackeri ruși care aparține unei unități cyber specială a GRU – serviciile militare de informații ale Moscovei – a atacat cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române. Operațiunea a vizat Ucraina, Serbia, statele NATO din regiunea Balcanilor, Grecia și Bulgaria și s-a derulat între septembrie 2024 și martie 2026. Practic un an și jumătate.

În total, au fost compromise 284 de căsuțe de email.

Reacțiile: Inițial, instituțiile statului român, în frunte cu Ministerul Apărării Naționale, au tăcut în toată această perioadă.

Pe 7 aprilie 2026, FBI a publicat un comunicat în care a anunțat demascarea unei întregi operațiuni cyber puse la cale de GRU.

O zi mai târziu, SRI a anunțat că „a participat alături de comunitatea internațională de intelligence la operațiunea Masquerade, prin care s-a reușit disruperea unei infrastructuri de atac formate din dispozitive de comunicații (routere), utilizate de actorul cibernetic rus APT28/ FANCY BEAR, atribuit GRU”.

Nici FBI și nici SRI nu au spus – cu acea ocazie - nimic despre „căsuțele de e-mail” atacate de GRU.

Informația despre compromiterea email-urilor – inclusiv ale Forțelor Aeriene Române – a apărut abia zilele trecute, într-un raport publicat de Ctrl-Alt-Intel, un grup de specialiști IT și cyber din UK și SUA, preluată de Reuters și, ulterior, de presa din România.

În România, hackerii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, printre care se numără câteva aparținând bazelor aeriene NATO și cel puțin contul unui ofițer militar de rang înalt.

MApN a precizat că acest incident de securitate „a fost depistat în luna martie a anului 2025 și a presupus compromiterea a câtorva zeci de adrese de email, pentru alte 30 de adrese de e-mail exploatarea nu a avut succes. Incidentul a fost depistat, analizat de structurile competente și izolat în termen de 24h”.

SRI și MApN se contrazic și, în același timp, se completează 

MApN recunoaște, așadar, „depistarea” unui atac cibernetic în aceeași lună, martie, în care atacurile cibernetice ale GRU au fost stopate.

„Nu sunt deloc surprins”, a declarat pentru PressOne expertul militar Sandu-Valentin Mateiu, comandor în rezervă al armatei române. „Ce au anunțat americanii, în urmă cu o lună, despre dejucarea unei întregi acțiuni de război cyber a rușilor și declarațiile făcute apoi de Nicușor Dan - se refereau la aceeași perioadă 2024-2026, și la același actor: Centrul 85 al GRU”, adaugă acesta. 

Spre deosebire de SRI, MApN nu a menționat nicăieri în comunicat „GRU” sau „hackeri ruși”. În schimb, ministerul român al Apărării a minimizat efectele atacului, subliniind că datele vizate nu erau clasificate. Cu toate acestea, tot MApN spune că situația a fost rezolvată în termen de 24 de ore. 

În același timp, în comunicatul din aprilie, SRI a detaliat operațiunea cyber a GRU astfel:

„Prin intermediul rețelei de atac, actorul cibernetic a colectat parole, tokenuri de autentificare și date sensibile, inclusiv e-mailuri și istoricul căutărilor pe internet, informații care în mod normal sunt protejate de protocoale SSL (secure socket layer) și TLS (transport layer security). În acest mod, GRU a compromis o gamă largă de entități de la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental”, reiese din comunicatul celor de la SRI.

Alegerile parlamentare din Ungaria văzute prin ochii studenților plecați în străinătate: Dorul de casă se potolește cu un salariu din care poți trăi

Duminică, 12 aprilie, Emese, doctorandă la CEU, a ales să nu voteze prin corespondență și să facă drumul Viena-Budapesta pentru a vota, alături de părinții ei, acasă. În acest context, PressOne a însoțit-o pe Emese la vot în ziua în care Ungaria pare că a ales o altă direcție. 

Deșeuri verzi în politică: cum a ajuns o firmă din industria de mediu să finanțeze PSD cu milioane de lei

Redpoint Management Solutions SRL, o Organizație de Transfer de Responsabilitate în domeniul deșeurilor electrice, a împrumutat PSD cu două milioane de lei în 2025 și 1,65 milioane de lei în 2024.

Foto: ID 20593471 | Cyber © Jakub Jirsak | Dreamstime.com

Pe 7 aprilie, SRI scria, negru pe alb, că GRU a compromis „entități” din România, fără a le nominaliza.

Pe 14 aprilie, MApN a recunoscut un „incident de securitate”, fără a numi direct atacatorul.

„A fost o breșă”, este de părere comandorul Sandu-Valentin Mateiu. „(Rușii), unde au apucat, au intrat. Au fost vizate centrele din Ucraina și datele NATO din Balcani – noi, bulgarii și grecii. Și Serbia – stat prieten, dar spionajul se face pe interes”.

Modus operandi al hackerilor GRU, explicat de FBI

Comunicatul FBI de pe 7 aprilie este ceva mai detaliat în privința modului în care au operat rușii.

„Atacatorii au colectat date de autentificare și au exploatat routere vulnerabile din întreaga lume, inclusiv routere TP-Link afectate de vulnerabilitatea CVE-2023-50224. Aceștia au modificat setările de rețea ale dispozitivelor, în special cele legate de DHCP (protocolul care atribuie automat adrese IP) și DNS (sistemul care transformă numele site-urilor în adrese IP), pentru a direcționa traficul prin servere DNS controlate de ei.

Toate dispozitivele conectate la aceste routere – cum ar fi laptopuri sau telefoane – preiau automat aceste setări modificate, fără ca utilizatorii să-și dea seama.

Infrastructura controlată de atacatori poate astfel să intercepteze și să înregistreze toate cererile către site-uri (adică ce adrese accesează utilizatorii). Mai mult, pentru anumite servicii și domenii – inclusiv Microsoft Outlook Web Access – atacatorii pot furniza răspunsuri DNS false.

Acest lucru le permite să desfășoare atacuri de tip „adversary-in-the-middle” (similar cu „man-in-the-middle”), chiar și asupra traficului criptat, dacă utilizatorii ignoră avertismentele de securitate legate de certificate.

În astfel de situații, atacatorii pot ajunge să vadă datele transmise de utilizatori în formă necriptată, inclusiv informații sensibile”.

Cu alte cuvinte, hackerii au profitat de faptul că „victimele” vizate în aceste atacuri „au chestii vechi la care nu și-au făcut sau pentru care nu există update-uri de securitate”, a explicat pentru PressOne Robert Butyka, expert în securitate IT.

În plus, comunicatul FBI mai face referire și la „Microsoft Outlook Web Access”.

În 2024, armata română era acuzată că a cumpărat licențe Microsoft de la o firmă despre care CSAT avertizase că reprezintă vulnerabilități la adresa securității naționale.

Oportunitate sau vulnerabilitate? 

Armata română nu a precizat nimic despre sistemul de operare pe care rulau adresele de mail, dar un expert IT și în electronică a arătat, pentru PressOne, că, dacă sistemul e unul vechi, acesta beneficiază de protecții slabe împotriva unor atacuri.

„Sistemul de operare contează destul de mult, pentru că sistemele vechi nu au atâtea protecții și au multe breșe uitate: când au fost scrise, cei de atunci nu se gândeau la SQL Injection și la sistemele de hack din ziua de azi”, a precizat un astfel de specialist, care a dorit să-și păstreze anonimatul.

„Aveam, la un moment dat, un script și dacă rulai scriptul și mergeai cu mouse-ul pe steluțele de la parolă – îți apărea parola”, adaugă expertul consultat de redacție. 

Sandu-Valentin Mateiu arată că un atac cibernetic GRU îndreptat împotriva Forțelor Aeriene Române nu e, neapărat, unul la întâmplare.

„Întrebarea e în ce măsură MApN și Comandamentul Forțelor Aeriene au fost ținte definite: gândiți-vă că avem F-16, scutul antirachetă de la Deveselu, sau programul de antrenare a piloților ucraineni de la Borcea. În descrierea tehnică (a FBI) se spunea că (rușii) au profitat de o vulnerabilitate la niște routere TP-Link. Ori a fost o oportunitate, ori au exploatat o vulnerabilitate. Cred că a fost și una, și alta. Au vizat Forțele Aeriene Române și le-a ieșit”, a spus Sandu-Valentin Mateiu.

Hackerii ruși au putut profita și de o posibilă lipsă de disciplină a angajaților din cadrul MApN. 

„Spargerea unui mail, dacă are parola ușoară, se face repede”, susține Robert Butyka.

Expertul militar Sandu-Valentin Mateiu arată că Moscova și serviciile de informații ruse sunt clar angajate într-un război hibrid la adresa țărilor occidentale, iar România nu face excepție. 

„Noi am început să nu mai credem în propriile noastre afirmații. Dacă s-a spus că e război hibrid și Moscova a spus că e în război cu Vestul, iar în conceptul strategic al NATO s-a trecut Rusia ca amenințare, ce Dumnezeu mai vrem?”, concluzionează Sandu-Valentin Mateiu. 

Acest articol a fost scris în cadrul proiectului The Eastern Frontier Initiative (TEFI). TEFI este o colaborare între editori independenți din Europa Centrală și de Est, menită să încurajeze reflecția comună și cooperarea privind problemele de securitate europeană din regiune. Proiectul își propune să promoveze schimbul de cunoștințe în presa europeană și să contribuie la o democrație europeană mai rezilientă.

Membrii consorțiului sunt 444.hu (Ungaria), Gazeta Wyborcza (Polonia), SME (Slovacia), PressOne (România), Delfi (Estonia), Delfi (Letonia), Delfi (Lituania), și Bellingcat (Țările de Jos).

Proiectul TEFI este cofinanțat de Uniunea Europeană. Opiniile și punctele de vedere exprimate aparțin exclusiv autorului (autorilor) și nu reflectă neapărat poziția Uniunii Europene sau a Agenției Executive Europene pentru Educație și Cultură (EACEA). Nici Uniunea Europeană, nici EACEA nu pot fi considerate responsabile pentru acestea.