Разкрита  инфраструктура показва как FancyBear е действал срещу правителствени и военни пощи

Какво се случва

Нови изследвания върху публично достъпна атакуваща инфраструктура дават необичайно подробен поглед върху кампания, свързвана с FancyBear, известна още като APT28. Данните показват целенасочени атаки срещу правителствени и военни webmail среди в държави като Украйна, Румъния, Гърция, Сърбия и България.

Разкритият сървър е съдържал command-and-control компоненти, phishing страници, payload-и и изнесени данни, което дава рядка видимост върху начина на работа на атакуващите.

Обхват на жертвите

Анализът показва ясно фокусирана целева група:

• Украйна (175): прокуратури, държавни институции, агенции
• Румъния (67): основно Военновъздушните сили
• Гърция (30): структури на отбраната
• Сърбия (8): Министерство на отбраната и военни институции
• България (4): правителствени акаунти

Този профил показва целенасочено събиране на информация, а не случайно разпространение.

Как протича атаката

Кампанията комбинира няколко техники срещу webmail платформи като Roundcube и SquirrelMail:

• кражба на credentials чрез phishing и browser execution
• извличане на TOTP и recovery кодове
• изнасяне на имейли
• кражба на адресни книги
• създаване на forwarding правила

В някои случаи само отварянето на имейл е достатъчно за компрометиране.

Геополитически контекст

Изборът на цели съответства на регионалната ситуация, а не е случаен.

• Румъния, България и Гърция участват в инициативи за военна мобилност на НАТО
• Гърция има участие в обучения, свързани с Украйна
• Сърбия остава ключов фактор в регионалния баланс

Периодът на атаките съвпада с активни геополитически процеси, което подсказва дългосрочна разузнавателна стратегия.

Анализ на CISO

Този случай показва, че контролът върху пощата означава контрол върху информацията.

Основни изводи:

• webmail системите са критичен актив
• трябва да се наблюдава поведение, не само вход
• forwarding правила и export действия са ключови индикатори
• session-based атаки са реален риск

DIAMATIX Perspective

Този случай показва, че достъпът до поща дава не просто комуникация, а контекст и видимост върху цялата организация.

Основният риск не е само първоначалният достъп, а продължителното присъствие.

Затова защитата трябва да включва:

• наблюдение на промени в акаунта
• откриване на нетипично извличане на данни
• контрол върху скрити механизми за достъп

Заключение

Този случай дава рядък поглед върху реална шпионска операция и показва, че дори сложни атаки могат да бъдат разкрити, когато се наблюдава поведението, а не само достъпът.

Източници

Ctrl-Alt-Intel. Анализ на Operation Roundish и изложена C2 инфраструктура (2026)
Hunt.io. Първоначално разкриване на кампанията и open-directory данни
CERT-UA. Официални предупреждения за атаки срещу Roundcube (2024–2025)
ESET. Operation RoundPress анализ
CrowdStrike. Профил на APT28 (FancyBear)
Microsoft Threat Intelligence. Forest Blizzard (STRONTIUM) профил