Более 284 почтовых ящиков взломаны между сентябрем 2024 и мартом 2026 года — такую цифру приводят британско-американские исследователи Ctrl-Alt-Intel, обнаружившие утечку. Хакеры, связанные с Россией, допустили ошибку сами: сервер с журналами успешных взломов и тысячами украденных писем оказался доступным в открытом интернете. Именно так это и раскрыли — не контрразведка, не CERT-UA, а независимая исследовательская группа.
Кого взломали: от антикоррупционеров до больницы в Покровске
Среди жертв — сразу несколько чувствительных институций. Хакеры взломали аккаунты в Специализированной прокуратуре в сфере обороны — военном органе, расследующем коррупцию и шпионаж в ЗСУ. По меньшей мере один сотрудник Специализированной антикоррупционной прокуратуры (САП) также попал в список жертв, хотя Reuters не раскрывает имя.
Отдельно взлому подверглось Агентство по розыску и менеджменту активов (АРМА) — структура, управляющая имуществом, конфискованным у коррупционеров и коллаборантов. По данным Reuters, среди скомпрометированных ящиков — аккаунт тогдашней главы АРМА Ярославы Максименко. В Центре подготовки прокуроров взломано 44 ящика, включая аккаунт заместителя директора Олега Дуки.
География атаки выходит за пределы Украины. По данным Ctrl-Alt-Intel, хакеры также взломали по меньшей мере 67 аккаунтов Воздушных сил Румынии — включая аккаунты на натовских авиабазах и по меньшей мере одного старшего офицера. Кроме того, атаки зафиксированы в Греции, Болгарии и Сербии.
«Хакеры, вероятно, отслеживали следователей, чтобы опередить тех, кто разоблачает московских агентов, или собирали компрометирующую информацию о киевских чиновниках»
Кейр Джайлс, ассоциированный научный сотрудник Chatham House (Лондон), который ознакомился со списком жертв
Техника — фишинг, атрибуция — спорная
Ctrl-Alt-Intel связывает операцию с известной группировкой Fancy Bear (APT28, ГРУ РФ). Однако два независимых исследователя — Матье Фао из ESET и Фейке Гакебурд из TrendAI — подтвердили связь с Москвой, но разошлись относительно конкретной группы: Фао заявил, что не может верифицировать причастность Fancy Bear, Гакебурд её отрицал.
- Атака длилась по меньшей мере с сентября 2024 по март 2026 года
- Взломано более 170 ящиков в Украине, всего — по меньшей мере 284 в разных странах
- Сервер с доказательствами хакеры оставили в открытом доступе — это и позволило исследователям задокументировать операцию
- CERT-UA подтвердил осведомленность о части взломов и сообщил о проведенных расследованиях
Фао из ESET предостерегает от преувеличений: выявленная операция, по его словам, — «лишь малая часть всей российской шпионской экосистемы». То есть то, что стало известно, — это не весь масштаб, а лишь тот фрагмент, где злоумышленники ошиблись.
Что это означает для антикоррупционных расследований
САП ведет дела, непосредственно влияющие на власть: среди её резонансных производств — расследование, которое в ноябре 2024 года привело к отставке главного переговорщика президента Зеленского Андрея Ермака. Если переписка следователей и прокуроров этого учреждения действительно скомпрометирована — это не просто утечка данных, а потенциальная возможность для Москвы предугадывать действия антикоррупционных органов или готовить давление на ключевых фигурантов дел.
Все названные организации — Максименко, Дука, АРМА, САП и прокуратуры — не ответили на запросы Reuters о комментариях.
Если CERT-UA уже «расследовал часть взломов», как сообщает агентство, — почему жертвы не были уведомлены или публично не предупреждены другие учреждения со схожим профилем риска? Ответ на этот вопрос определит, был ли этот эпизод операционным провалом лишь хакеров — или также системой реагирования на киберугрозы в Украине.
