Понад 284 поштових скриньки зламані між вереснем 2024-го і березнем 2026 року — таку цифру наводять британсько-американські дослідники Ctrl-Alt-Intel, які виявили витік. Хакери, пов'язані з Росією, самі допустилися помилки: сервер із журналами успішних зламів і тисячами вкрадених листів виявився доступним у відкритому інтернеті. Саме так це й розкрили — не контррозвідка, не CERT-UA, а незалежна дослідницька група.
Кого зламали: від антикорупційників до лікарні в Покровську
Серед жертв — одразу кілька чутливих інституцій. Хакери зламали акаунти в Спеціалізованій прокуратурі у сфері оборони — воєнному органі, що розслідує корупцію та шпигунство в ЗСУ. Щонайменше один співробітник Спеціалізованої антикорупційної прокуратури (САП) теж потрапив до списку жертв, хоча Reuters не розкриває ім'я.
Окремо злому зазнало Агентство з розшуку та менеджменту активів (АРМА) — структура, що управляє майном, конфіскованим у корупціонерів і колаборантів. За даними Reuters, серед скомпрометованих скриньок — акаунт тодішньої голови АРМА Ярослави Максименко. У Центрі підготовки прокурорів зламано 44 скриньки, включно з акаунтом заступника директора Олега Дуки.
Географія атаки виходить за межі України. За даними Ctrl-Alt-Intel, хакери також зламали щонайменше 67 акаунтів Повітряних сил Румунії — включно з акаунтами на натівських авіабазах і щонайменше одного старшого офіцера. Крім того, атаки зафіксовані в Греції, Болгарії та Сербії.
«Хакери, ймовірно, відстежували слідчих, щоб випередити тих, хто викриває московських агентів, або збирали компрометувальну інформацію про київських чиновників»
Кейр Джайлс, асоційований науковий співробітник Chatham House (Лондон), який ознайомився зі списком жертв
Техніка — фішинг, атрибуція — спірна
Ctrl-Alt-Intel пов'язує операцію з відомим угрупованням Fancy Bear (APT28, ГРУ РФ). Однак два незалежних дослідники — Матьє Фао з ESET і Фейке Гакебурд з TrendAI — підтвердили зв'язок із Москвою, але розійшлися щодо конкретної групи: Фао заявив, що не може верифікувати причетність Fancy Bear, Гакебурд її заперечив.
- Атака тривала щонайменше з вересня 2024-го по березень 2026 року
- Зламано понад 170 скриньок в Україні, загалом — щонайменше 284 по різних країнах
- Сервер із доказами хакери залишили у відкритому доступі — це й дозволило дослідникам задокументувати операцію
- CERT-UA підтвердив обізнаність із частиною зламів і повідомив про проведені розслідування
Фао з ESET застерігає від перебільшень: викрита операція, за його словами, — «лише мала частина всієї російської шпигунської екосистеми». Тобто те, що стало відомим, — це не весь масштаб, а лише той фрагмент, де зловмисники помилилися.
Що це означає для антикорупційних розслідувань
САП веде справи, що безпосередньо впливають на владу: серед її резонансних проваджень — розслідування, яке у листопаді 2024 року призвело до відставки головного переговорника президента Зеленського Андрія Єрмака. Якщо листування слідчих і прокурорів цієї інституції дійсно скомпрометоване — це не просто витік даних, а потенційна можливість для Москви передбачати дії антикорупційних органів або готувати тиск на ключових фігурантів справ.
Усі названі організації — Максименко, Дука, АРМА, САП і прокуратури — не відповіли на запити Reuters щодо коментарів.
Якщо CERT-UA вже «розслідував частину зламів», як повідомляє агентство, — чому жертви не були повідомлені або публічно не попереджені інші установи зі схожим профілем ризику? Відповідь на це питання визначить, чи був цей епізод операційним провалом лише хакерів — чи також системою реагування на кіберзагрози в Україні.
