Fancy Bear dă din nou lovitura: malware-ul rusesc care fură conturi Outlook a fost expus
Guvernul britanic a tras un nou semnal de alarmă privind atacurile cibernetice venite dinspre Rusia, anunțând că gruparea de hackeri APT28 – cunoscută sub porecla de Fancy Bear – a lansat un malware complet nou, numit Authentic Antics, care vizează utilizatorii Microsoft Outlook. Această unealtă de spionaj digital extrem de sofisticată fură acreditivele de autentificare și se infiltrează în conturile de e-mail ale victimelor, fără ca acestea să bănuiască nimic.
APT28 este recunoscută ca făcând parte din Direcția Principală de Informații a Statului Major General al Rusiei (GRU), mai precis unitatea 26165. Dezvăluirea vine la doar câteva ore după ce Marea Britanie a anunțat sancțiuni împotriva a trei unități GRU (26165, 29155 și 74455), precum și a zeci de ofițeri implicați în atacuri cibernetice persistente împotriva infrastructurilor occidentale.
Authentic Antics a fost descoperit pentru prima dată în 2023, în urma unei anchete conduse de Microsoft și NCC Group. Abia acum însă, în iulie 2025, autoritățile britanice au atribuit în mod oficial acest malware grupării Fancy Bear, confirmând astfel suspiciunile legate de implicarea GRU în campanii de spionaj informatic masiv.
Cum funcționează Authentic Antics și ce îl face atât de periculos
Malware-ul se integrează direct în sistemul de operare Windows și se activează în cadrul aplicației Outlook. La intervale regulate, acesta afișează o fereastră de login falsă, imitând perfect designul original Microsoft. Când utilizatorul își introduce datele, acestea sunt trimise instantaneu către servere controlate de atacatori.
Dar asta nu e tot. Authentic Antics fură inclusiv token-uri OAuth, care permit accesul la multiple servicii Microsoft precum Exchange Online, SharePoint și OneDrive, fără a mai fi nevoie de autentificare suplimentară. În plus, datele furate sunt exfiltrate prin e-mailuri trimise din contul victimei, dar care nu apar în folderul “Trimise”, făcând detectarea aproape imposibilă pentru utilizatorul de rând.
Paul Chichester, director de operațiuni la National Cyber Security Centre (NCSC) din Marea Britanie, a avertizat că “acest tip de malware arată cât de persistent și sofisticat este pericolul reprezentat de GRU.” El a subliniat necesitatea de a menține monitorizarea activă a rețelelor și implementarea de măsuri de protecție avansate în fața unui inamic atât de bine pregătit.
Atacuri care au consecințe reale: de la e-mailuri furate la lovituri cu rachete
Fancy Bear nu este la primul său atac. În mai 2025, agențiile de securitate din SUA și Europa au raportat că aceeași unitate GRU viza infrastructuri logistice și guvernamentale din țări NATO care oferă ajutor Ucrainei. Printre obiectivele atacurilor se numărau inclusiv camere video conectate la internet, amplasate la granițe, folosite pentru a urmări transporturile de ajutor umanitar.
Și mai grav, autoritățile britanice au confirmat că, în 2022, unitatea 26165 a realizat recunoaștere online pentru a ghida atacuri cu rachete asupra orașului Mariupol. Printre țintele atacate se numără și Teatrul Mariupol, unde sute de civili – inclusiv copii – și-au pierdut viața.
Mai mult, malware-ul Authentic Antics este doar una dintre uneltele GRU. În trecut, aceeași grupare a folosit spyware-ul X-Agent pe telefoanele fostului agent dublu rus Sergei Skripal și ale fiicei sale, înainte ca aceștia să fie otrăviți cu Novichok în 2018, într-un incident care a șocat opinia publică internațională.
Sancțiuni, reacții internaționale și un nou front al războiului digital
În urma dezvăluirii, guvernul britanic a anunțat sancțiuni împotriva a peste 20 de ofițeri GRU implicați în atacuri cibernetice și operațiuni de spionaj. Printre aceștia se numără nume grele precum Aleksandr Vladimirovich Osadchuk sau Artem Valeryvich Ochichenko, toți direct implicați în coordonarea acțiunilor digitale ale Kremlinului.
Uniunea Europeană și NATO au emis la rândul lor declarații de condamnare fermă a acestor acțiuni. Potrivit acestora, “activitățile cibernetice ale GRU reprezintă o amenințare serioasă la adresa securității și stabilității internaționale”.
În acest context, se conturează tot mai clar că războiul digital devine un front principal în conflictele moderne. Nu mai e vorba doar de hackeri care fură date pentru profit, ci de campanii militare digitale orchestrate de state, cu obiective strategice și consecințe reale pentru vieți omenești.
Dacă folosești Outlook sau orice serviciu Microsoft, asigură-te că ai actualizările de securitate la zi, că folosești autentificare în doi pași și că ești atent la ferestrele de login suspecte. Războiul cibernetic nu mai e o teorie – e aici, acum.
