Koje informacije u Srbiji prikupljaju ruski državni hakeri?

Poruka na aplikaciji Signal i otvaranje linka za navodni video poziv.

Na ovaj način, Beogradski centar za bezbednosnu politiku postao je žrtva ruskih hakerskih grupa, utvrdila je forenzička analiza koju je za ovu srpsku nevladinu organizaciju uradila jedna od najvećih IT kompanija u svetu.

Reč je o hakerskim grupama koje vlade Sjedinjenih Američkih Država i Velike Britanije od ranije povezuju sa obaveštajnim i bezbednosnim strukturama Rusije.

Tokom napada, hakeri su pristupili delu arhive i pročitali više od 28 hiljada mejl prepiski srpske organizacije koja skoro 25 godina prati reforme u sektoru bezbednosti i aktivno je uključena u komunikaciju sa brojnim evropskim institucijama.

"Naša mejling lista međunarodnih i domaćih partnera je veoma velika", kaže za Radio Slobodna Evropa (RSE) direktor Beogradskog centra za bezbednosnu politiku (BCBP) Igor Bandović.

On navodi i da su nalozi zaposlenih u BCBP-u korišćeni u daljem širenju hakerske operacije dve ruske grupe.

Jedna je povezana sa Spoljnom obaveštajnom službom Rusije (SVR), a druga sa ruskom Vojnom obaveštajnom službom (GRU).

Obe grupe, kako se navodi na sajtu Microsofta, ciljaju vlade, diplomatske institucije, nevladine organizacije i IT kompanije širom sveta.

"Napadači koriste sve moguće metode kako bi došli do pristupa osetljivim mejlovima, datotekama i porukama", kaže za RSE direktor američke kompanije za sajber bezbednost Volexity Stiven Adair (Steven Adair) koji se bavio i napadom na BCBP.

On dodaje da će organizacije civilnog društva u Srbiji "gotovo sigurno i dalje biti mete zbog svog rada i ekspertize u oblastima povezanim sa Rusijom, Ukrajinom i bezbednosnim naporima u Evropi".

Kako se dogodio napad?"Poruka koja mi je stigla ni na koji način nije izgledala sumnjivo", priseća se za RSE direktor BCBP-a Igor Bandović.

On navodi da mu se u julu prošle godine porukom obratila osoba koja se predstavila kao beloruski opozicioni političar Sergej Tihanovski, suprug opozicionarke u egzilu Svetlane Tihanovske.

"Predložio je da zakažemo video poziv kako bismo razgovarali o političkoj situaciji u Jugoistočnoj Evropi", dodaje Bandović.

Ova poruka, kako se ispostavilo kasnijom forenzičkom analizom, bila je jedna od ključnih ulaznih tačaka preko kojih se odvijala operacija ruskih hakera u nameri da zauzmu infrastrukturu beogradske nevladine organizacije, ali i da svoje aktivnosti prošire dalje.

Igor Bandović kaže da je sagovornika pitao preko koga je dobio njegov kontakt. Kada mu je objašnjeno da se radi o kolegi iz Rumunije, Bandović navodi da nije imao razloga da previše ispituje autentičnost konverzacije.

Komunikacija se odvijala preko aplikacije za razmenu poruka Signal koja je karakteristična po zaštiti privatnosti i enkriptovanom (zaštićenom) prenosu informacija, gde se korisnici mogu povezati preko brojeva telefona ili korisničkog imena.

Uz poruku je poslat i link za video poziv.

U vreme zakazanog sastanka Bandović je link kopirao u internet pretrazivač.

Video poziv se nije aktivirao, ali je hakerima otvorio vrata ka gotovo celokupnoj komunikaciji zaposlenih u BCBP-u.

Bandović je na ovaj način postao žrtva takozvanog sper fišinga (spear phishing), odnosno ciljanog slanja poruka u kojem napadač prilagođava poruku tako da izgleda kao da dolazi od pouzdane osobe ili organizacije, često koristeći lične podatke o žrtvi.

Cilj je da žrtva bude prevarena da otkrije poverljive informacije, preuzme zlonamerni fajl ili omogući pristup sistemima.

Četiri meseca kasije, u novembru prošle godine, "Microsoft Threat Intelligence Center", specijalizovani tim kompanije Microsoft koji se bavi istraživanjem digitalne bezbednosti korisnika programskih paketa ove kompanije upozorio je BCBP da je žrtva hakerskog napada.

Jedna od najvećih IT kompanija na svetu koja je tražila anonimnost, a čiji je identitet poznat RSE, uradila je za BCBP forenzičku analizu i identifikovala dve hakerske grupe – "Midnight Blizzard" (Ponoćna mećava) i "Forest Blizzard" (Šumska mećava) kao organizacije koje stoje iza ovih napada.

Ko su ruski hakeri koji stoje iza napada u Srbiji?"Midnight Blizzard" je hakerska grupa koju pod tim imenom prati kompanija Microsoft, a aktivna je najranije od 2018. godine.

Kako se navodi na sajtu Microsofta, grupa operiše iz Rusije.

Vlade SAD i Velike Britanije povezuju je sa Spoljnom obaveštajnom službom Ruske Federacije, poznatom kao SVR.

Grupa je poznata po tome što napada vlade, diplomatske institucije, nevladine organizacije i IT kompanije usluga, uglavnom u SAD i Evropi.

Cilj im je, kako navodi Microsoft, "prikupljanje obaveštajnih podataka kroz dugotrajnu i posvećenu špijunažu" stranih interesa.

"Forest Blizzard" je sa druge strane hakerska grupa kojoj se pripisuju veze sa ruskom obaveštajnom agencijom GRU.

Pripadnici ove grupe direktno su identifikovani kao oficiri GRU u optužnici koju je američko Ministarstvo pravde 2018. godine podiglo protiv 12 pripadnika GRU zbog hakovanja Demokratskog nacionalnog komiteta, Demokratskog kongresnog komiteta i predizborne kampanje kandidatkinje za predsednicu SAD Hilari Klinton (Hillary Clinton).

Cilj je, prema navodima optužnice, bio "uticaj na predsedničke izbore u SAD 2016. godine".

Kako piše u optužnici, GRU je tada sprovodio masovne sper fišing napade na članove izbornog štaba Hilari Klinton, što im je omogućilo pristup desetinama hiljada mejlova.

Nakon uspešnih napada, hakovali su računare instuitucija koje su vodile kampanju Demokrata, ukrali dokumente, lozinke, i tajno nadgledali rad zaposlenih, navodi se u optužnici.

Ovaj slučaj nije odmakao dalje od optužnice, jer su svi optuženi nedostupni američkim organima.

Kako se navodi na sajtu Microsofta, cilj napada ove ruske grupe su vlade, nevladine organizacije, IT kompanije i univeziteti, a napadi su zabeleženi u Americi, Australiji, Kanadi, Indiji, Ukrajini, Izraelu i Japanu.

Širok spektar sličnih hakerskih napada kampanja, koje uključuju lažno predstavljanje pojedinaca i kompromitovanje naloga, analizirala je američka firma za sajber bezbednost Volexity iz Vašintona.

"Prilično smo uvereni da su ovi napadi koji ciljaju pojedince i organizacije angažovane na pitanjima vezanim za Rusiju, Ukrajinu i evropsku bezbednost, delo ruskih sajber pretnji", kaže za RSE Stiven Adair, osnivač i direktor ove kompanije.

On dodaje da su ruski akteri usvojili više tehnika usmerenih na kompromitovanje korisnika.

"Ovi napadi su evoluirali od lažnog predstavljanja pojedinaca, poput ambasadora i diplomata, do kreiranja lažnih web sajtova konferencija osmišljenih da 'fišuju' akreditive potencijalnih učesnika", objašnjava Adair.

Lažni sajt Beogradske bezbednosne konferencijeForenzička analiza koju je za sprski BCBP uradila jedna svetska IT kompanija pokazala je da je za samo mesec dana praćenja, do početka novembra do početka decembra 2025, zabeleženo više od 28 hiljada pristupa mejlovima zaposlenih u BCBP-u.

To je značilo otvaranje poruka i dokumenta koji su slati kao prilozi, kao i pristup arhivi i starijim prepiskama sa domaćim i stranim partnertima, objašnjavaju u BCBP-u.

"Zabeleženi su pokušaji dodatne komunikacije sa našim zaposlenima iz kojih je jasno da su hakeri nakon ulaska u sistem imali praktično pregled komunikacije u trenucima kako se odvijala", navodi direktor BCBP-a Igor Bandović.

Operacija je dobila šire okvire kada je hakerska grupa napravila i lažni sajt koji je reklamiran kao zvanična platforma za registraciju učesnika Beogradske bezbednosne konferencije.

Ova konferencija, u organizaciji BCBP-a, održana je od 17. do 19. novembra u Beogradu.

To je bio četvrti skup koji predstavlja jedan od najvećih regionalnih skupova posvećen pitanjima spoljne politike i bezbednosti, a koji okuplja više od 500 učesnika iz Srbije i inostranstva.

Reč je o događaju poluzatvorenog tipa na kojem učestvuju politički predstavnici, diplomate, stručnjaci i predstavnici međunarodnih organizacija.

Forenzička analiza američke kompanije Volexity, koja je takođe analizirala ovaj slučaj, pokazala je da su gosti i učesnici mejlovima usmeravani na lažni sajt sa ciljem "da se infiltracija proširi na međunarodne učesnike, predstavnike vlada, međunarodnih organizacija, akademske zajednice i civilnog društva".

"Neposredno pred konferenciju, institucije Evropske unije poslale su upozorenje na sper fišing kampanju koja se širi sa lažnih naloga Beogradske konferencije i targetira naše partnere u EU i severnoj Americi", kaže Igor Bandović.

On navodi da je jedan od ciljeva bio da se stranci odvrate od dolaska u Beograd, dok je drugi, kako je rekao, "svakako obaveštajna šprijunaža".

Koje su razmere napada?U BCBP-u kažu da je i šest meseci kasnije teško sagledati razmere štete.

"Javili su nam se partneri iz dve organizacije, jedna iz Evrope, druga iz Sjedinjenih Država da su sa naših adresa dobile fišing mejlove. Ali, to znači da su ih oni prepoznali. Koliko organizacija i pojedinaca nije prepoznalo ovu hakersku aktivnost ne možemo ni da pretpostavimo", kaže Igor Bandović.

Osnivač kompanije Volexity Stiven Adair za RSE kaže da "razmere ovih napada deluju prilično velike".

"Ruski akteri pretnji napravili su potpuno lažan web sajt koji imitira Beogradsku bezbednosnu konferenciju i ciljano napadali osobe koje bi mogle da prisustvuju ili bi bile zainteresovane da na njemu govore. Ovo pruža važne uvide u to kakav rad u Srbiji posebno privlači pažnju napadača", navodi Adair.

Ono što je forenzička analiza nakon napada otkrila ide i van fišinga i lažnog predstavljanja.

Detaljno istraživanje pokazalo je da je ova nevladina organizacija bila meta ruskih hakera od leta 2024. godine.

Od septembra te godine je, prema nalazu digitalno forenzičke analize, preuzet nalog administratora preko VPN naloga, odnosno pristupnih tačaka serveru BCBP-a koje se koriste za rad na daljinu.

Šta kažu institucije u Srbiji?Igor Bandović kaže da napade nisu prijavili Tužilaštvu za borbu protiv visokotehnološkog kriminala u Srbiji jer "nemaju poverenja u nepristrasnu istragu".

Javno su izašli sa svim podacima kako bi, navodi Bandović, upozorili potencijalne žrtve.

On dodaje i da su početkom decembra otklonili sve pretnje iz svog sistema.

Koji su znakovi obaveštajne saradnje Srbije i Rusije?Američki Stejt department je 2019. okarakterisao Srbiju, koja je kandidat za članstvo u Evropskoj uniji, kao državu sa "najpropustljivijim okruženjem" za ruski uticaj na Zapadnom Balkanu.

Beograd je i nakon ruske invazije na Ukrajinu i zapadnih sankcija Moskvi ostao jedan od retkih evropskih partnera Kremlja.

Dve države nastavile su i obaveštajnu saradnju.

U septembru 2025. otkriveno je da su na zapadu Srbije ruske službe organizovale kampove za obuku gde su državljani Moldavije i Rumunije, prema saopštenju Kišinjeva, pripremani za izazivanje nereda tokom moldavskih izbora.

Vlasti u Srbiji pozvale su rusku Federalnu službu bezbednosti u Srbiju da sprovede istragu navoda da je na antivladinom protestu 15. marta u Beogradu protiv demonstranata upotrebljen zvučni top.

Moskva i Beograd, bez pružanja dokaza, optužuju zapadne službe da stoje iza masovnih protesta u Srbiji sa kojih se traži odgovornost vlasti za pogibiju 16 ljudi u nesreći u Novom Sadu.

Zajedničku borbu protiv "obojenih revolucija", termin koji Moskva koristi kako bi opisala svrgavanja autoritarnih režima u bivšim sovjetskim republikama, Beograd i Kremlj najavili su još 2021. godine.

Sa tadašnjim prvim čovekom ruske obaveštajne službe Nikolajem Patruševim dogovarao se proruski zvaničnik u Vladi Srbije Aleksandar Vulin, koji je zbog saradnje sa Rusijom na crnoj listi Sjedinjenih Država.

Ruski opozicionari optužili su Vulina da ih je prisluškivao u Beogradu i informacije prosledio Kremlju, nakon čega su usledila njihova hapšenja u Moskvi.

Srbija je bila u fokusu optužbi i da je pružila utočiše ruskim diplomatama koji su zbog sumnji na špijunažu proterani iz država Evropske unije.