ΚΑΤΑΣΚΟΠΟΙ ΕΠΛΗΞΑΝ ΤΟ ΠΙΟ ΝΕΥΡΑΛΓΙΚΟ ΨΗΦΙΑΚΟ ΔΙΚΤΥΟ ΤΟΥ ΕΛΛΗΝΙΚΟΥ ΔΗΜΟΣΙΟΥ

Για τουλάχιστον ένα χρόνο είναι σε εξέλιξη παγκόσμια επιχείρηση κυβερνοκατασκοπείας, που «με μεγάλη βεβαιότητα είναι ευθυγραμμισμένη με κρατικά κριτήρια και λειτουργεί εκτός Ασίας», όπως αναφέρει η έκθεση των ανθρώπων που εντόπισαν τις Shadow Campaigns.

Τα στοιχεία των ερευνητών δείχνουν πως η δραστηριότητα άρχισε τουλάχιστον από τον Ιανουάριο του 2024 (με εισβολές σε ευρωπαϊκές κυβερνήσεις), αυξήθηκε το 2025 και δεν είναι απόλυτα βέβαιο, ότι έχει ολοκληρωθεί.

Πίσω από την επιχείρηση είναι οι ομάδεςTGR-STA-1030 / UNC6619, με τους ερευνητές να διευκρινίζουν πως «υπάρχει υψηλή πιθανότητα σύνδεσης με με κυβέρνηση» της Ασίας και λειτουργεί εκτός αυτής.

Δεν πρόκειται για τυχαία επίθεση, αλλά «για ώριμη, κρατική επιχείρηση, με στόχο τη μακροχρόνια κατασκοπεία».

Η χώρα που πλήρωσε -ή εξακολουθεί να πληρώνει- για ό,τι “κλέβει” η επιχείρηση μπορεί να μην εντοπίστηκε, αλλά ο στόχος των Shadow Campaigns είναι ξεκάθαρος: η συλλογή στρατηγικών, οικονομικών και πολιτικών πληροφοριών.

Όπως δείχνουν τα στοιχεία της έκθεσης, οι στόχοι των hackers ήταν τουλάχιστον 70 οργανισμοί, σε 37 χώρες. Συνολικά, επηρεάστηκαν 155 χώρες και για την ακρίβεια, κυβερνητικά υπουργεία, υπηρεσίες επιβολή του νόμου, ελέγχου συνόρων, οικονομικών, εμπορίου, ενέργειας και διπλωματίας.

Ποιοι εντόπισαν τους κυβερνοκατασκόπους;

Η αποκάλυψη για την παγκοσμίου βεληνεκούς, μεγάλης κλίμακας, επιχείρησης έγινε από την Unit 42, ειδική ομάδα κυβερνοασφάλειας, της εκ των μεγαλύτερων εταιρειών στον κόσμο, Palo Alto Networks.

Έχει συνδέσει τις Shadow Campaigns, με κράτος της Ασίας («η ανάλυση υποδομών δείχνει συνεπή χρήση περιφερειακών γλωσσικών ρυθμίσεων, ωράριο λειτουργίας ευθυγραμμισμένο με το GMT+8 και συνδέσεις upstream που ξεκινούν από το Autonomous System 9808, έναν πάροχο υπηρεσιών Διαδικτύου που βρίσκεται στην περιοχή έδρας της ομάδας») και οντότητες που -όπως αναφέρθηκε ήδη- συνδέονται με 155 χώρες.

Η έρευνα δείχνει πως συχνά οι “Εκστρατείες Σκιάς” (Shadow Campaigns) εμφανίζονται σε σημαντικά γεγονότα, όπως κυβερνητικές εκλογές ή διακοπή λειτουργίας κυβερνητικών υπηρεσιών.

Μεταξύ των άπειρων επιβεβαιωμένων παραβιάσεων, ανήκουν αυτές στο υπουργείο Ενέργειας της Βραζιλίας, στον στρατό και το κοινοβούλιο της Τσεχίας, τα κυβερνητικά συστήματα της Γερμανίας, τις κρίσιμες υποδομές στο Ταϊβάν, το υπουργείο Οικονομικών της Αυστραλίας και υποδομές της Νιγηρίας, μεταξύ πολλών άλλων.

Πώς μπορούν οι Shadow Campaigns να δρουν ανενόχλητες για μήνες

Σύμφωνα με τη Unit 42, τα μέλη της επιχείρησης μπήκαν και έψαξαν κυβερνητικά δίκτυα σε 155 χώρες, μόνο σε δυο μήνες, τον Νοέμβριο και το Δεκέμβριο του 2025.

Η Γη έχει 195 αναγνωρισμένες χώρες.

Οι χάκερς της επιχείρησης λειτουργούν όπως… όλοι οι επιτήδειοι: επιστρατεύουν το ηλεκτρονικό ψάρεμα (phishing), δηλαδή στέλνουν πολλά ψεύτικα emails, τα οποία μοιάζουν πολύ με επίσημα (έχουν τίτλους όπως “αναδιοργάνωση τμήματος” ή “ενημέρωση”) σε κυβερνήσεις, υπουργεία και κρίσιμες υπηρεσίες σε όλον τον κόσμο. Ένα click, τους είναι αρκετό για να κάνουν την παραβίαση και να “πιάσουν” δουλειά.

«Η ομάδα εκμεταλλεύεται επίσης γνωστά τρωτά σημεία σε ευρέως χρησιμοποιούμενο εταιρικό και κυβερνητικό λογισμικό. Συνδέοντας πολλαπλά ελαττώματα, οι εισβολείς αποκτούν πρόσβαση σε εσωτερικά συστήματα χωρίς να ενεργοποιούν άμεσες ειδοποιήσεις» εξηγεί το CybSec World.

Μόλις βρεθούν μέσα σε ένα δίκτυο «οι εισβολείς αναπτύσσουν προσαρμοσμένο κακόβουλο λογισμικό για να διατηρούν μακροπρόθεσμη πρόσβαση. Το κιτ εργαλείων τους περιλαμβάνει στοιχεία απομακρυσμένης πρόσβασης και web shells, που επιτρέπουν την πλευρική κίνηση».

Οι ερευνητές εντόπισαν επίσης, προηγμένους μηχανισμούς διατήρησης, που έχουν σχεδιαστεί για να επιβιώνουν από επανεκκινήσεις συστημάτων και ενημερώσεις λογισμικού. Παράλληλα, χρησιμοποιούν και άλλους τρόπους αποφυγής των εργαλείων παρακολούθησης, «με την πολυεπίεδη προσέγγιση να δυσχεραίνει την ανίχνευση και να επιτρέπει στις επιχειρήσεις κατασκοπείας να συνεχίζονται αθόρυβα με την πάροδο του χρόνου».

Γιατί δεν μπορεί να εντοπιστεί η έδρα των Shadow Campaigns

Οι κυβερνοκατάσκοποι των Shadow Campaigns κλέβουν πληροφορίες και δη μυστικές και το κάνουν για μήνες, δίχως κάποιος να τους εντοπίσει.

Δεν καταστρέφουν κάτι (ώστε να γίνει εντοπιστεί “ασυνήθιστη συμπεριφορά”), μηδέ κρατούν “ομήρους” τα δεδομένα και ζητούν λύτρα για την αποδέσμευση και αυτό κάνει δύσκολο τον εντοπισμό τους., σε συνδυασμό φυσικά, με προσαρμοσμένα εργαλεία, κρυπτογραμμημένες επικοινωνίες και νόμιμη υποδομή cloud.

Φαίνεται να εξασφάλισαν οικονομικά στοιχεία, όπως εμπορικές συμφωνίες, εξόρυξη ορυκτών σε σπάνιες γαίες, κ.α., πολιτικές αποφάσεις, στρατηγικές πληροφορίες διπλωματικής, ενεργειακής ή εμπορικής αξίας και ό,τι άλλο μπορεί να βοηθήσει μια χώρα να έχει πλεονέκτημα, σε διεθνή ζητήματα.

Πού μπήκαν οι Shadow Campaigns στην Ελλάδα

Τα δεδομένα της Unit 42 θέλουν τους “κατασκόπους” να έκαναν επιβεβαιωμένες παραβιάσεις σε 37 χώρες, όπως και οι Κύπρος, Τσεχία, Γερμανία, Ιταλία, Πολωνία, Πορτογαλία και Σερβία.

Στη χώρα μας αναφέρεται ότι «πιθανότατα παραβιάστηκε» το Σύζευξις Project, δηλαδή ο ψηφιακός μετασχηματισμός του Δημοσίου «με αντικείμενο την παροχή ενός συνόλου αναβαθμισμένων τηλεπικοινωνιακών υπηρεσιών, στο σύνολο του φορέα του Δημοσίου, παρέχοντας κάλυψη σε πολλά κτίρια (σημεία παρουσίας), καθώς και υπηρεσίες ασύρματων τηλεπικοινωνιών».

Ένα «ενιαίο, υψηλής ταχύτητας και ασφαλές δίκτυο» που συνδέει όλες τις δημόσιες υπηρεσίες (από τα ΚΕΠ έως τις εφορίες), υπουργεία, δήμους, νοσοκομεία, σχολεία, ΕΛ.ΑΣ., Πυροσβεστική, Πανεπιστήμια κλπ της Ελλάδας.

Δεν υπάρχουν πληροφορίες για το μέγεθος της παραβίασης ή τι ακριβώς εκλάπη ή πόσο έμειναν στο δίκτυο. Αλλά με μια παραβίαση, είχαν την ευκαιρία να μπουν παντού -αντί να “χτυπήσουν” κάθε υπουργείο ξεχωριστά.

Κάτι άλλο που δεν υπάρχει, είναι ανακοινώσεις των ελληνικών αρχών για το περιστατικό.