Η τελευταία έρευνα της εταιρείας κυβερνοασφάλειας Palo Alto Networks αποκάλυψε μια εκτεταμένη εκστρατεία κατασκοπείας που στοχεύει κυβερνήσεις και κρίσιμες υποδομές σε δεκάδες χώρες, με επιθέσεις που φαίνεται να σχετίζονται με γεωπολιτικά γεγονότα, συλλέγοντας ευαίσθητες πληροφορίες.
Μια ομάδα ασιατικής κατασκοπείας στον κυβερνοχώρο πέρασε τον τελευταίο χρόνο παραβιάζοντας συστήματα υπολογιστών κυβερνήσεων και οργανισμών κρίσιμης υποδομής σε περισσότερες από 37 χώρες, σύμφωνα με την Palo Alto Networks, Inc.
Η πρόσφατα εντοπισμένη δραστηριότητα έχει ονομαστεί «Shadow Campaign» (Σκιώδης Εκστρατεία), ενώ η έρευνα αποκαλύπτει μια νέα ομάδα κυβερνοκατασκοπείας που η Unit 42 παρακολουθεί ως «TGR-STA-1030».
Η εκστρατεία αυτή είναι η πιο εκτεταμένη επιχείρηση κυβερνοκατασκοπείας που αποδίδεται σε μία μόνο κυβερνητική ομάδα χάκερ από την παραβίαση της SolarWinds το 2020, προειδοποίησαν οι ερευνητές.
Οι στόχοι των επιθέσεων
Οι επιτιθέμενοι, πιθανώς με κρατική υποστήριξη, έχουν εισβάλει στα δίκτυα 70 οργανισμών, συμπεριλαμβανομένων πέντε εθνικών υπηρεσιών επιβολής του νόμου και συνοριακού ελέγχου, τριών υπουργείων Οικονομικών, ενός κοινοβουλίου και ενός ανώτερου εκλεγμένου αξιωματούχου σε άλλη χώρα, σύμφωνα με νέα ερευνητική αναφορά της εταιρείας.
Οι κυβερνητικές υπηρεσίες και οι οργανισμοί κρίσιμης υποδομής σε ΗΠΑ και Βρετανία δεν επηρεάστηκαν, δήλωσε στο Axios ο Peter Renals, επικεφαλής ερευνητής ασφάλειας στην ομάδα πληροφοριών απειλών Unit 42 της Palo Alto Networks.
Η Palo Alto Networks, με έδρα την Καλιφόρνια, δεν θέλησε να αποκαλύψει τη χώρα καταγωγής των χάκερ.
Η μέθοδος των χάκερ
Η εκστρατεία κατασκοπείας ήταν ασυνήθιστα εκτεταμένη και επέτρεψε στους χάκερ να συλλέγουν ευαίσθητες πληροφορίες σε συντονισμό με γεωπολιτικά γεγονότα, όπως διπλωματικές αποστολές, εμπορικές διαπραγματεύσεις, πολιτική αναταραχή και στρατιωτικές ενέργειες.
Οι επιτιθέμενοι χρησιμοποίησαν την πρόσβαση αυτή για να παρακολουθούν ηλεκτρονικά μηνύματα, οικονομικές συναλλαγές και επικοινωνίες σχετικά με στρατιωτικές και αστυνομικές επιχειρήσεις.
Επίσης, έκλεψαν πληροφορίες σχετικά με διπλωματικά ζητήματα, παραμένοντας αθέατοι σε κάποια συστήματα για μήνες.
«Χρησιμοποιούν εξαιρετικά στοχευμένα και εξατομικευμένα ψεύτικα email και γνωστά, μη ενημερωμένα κενά ασφαλείας για να αποκτήσουν πρόσβαση σε αυτά τα δίκτυα», δήλωσε ο Renals.
«Η κατασκοπεία φαίνεται να είναι ο κύριος σκοπός πίσω από αυτές τις επιθέσεις, καθώς οι δράστες συχνά αναζητούν πρόσβαση σε ηλεκτρονικά μηνύματα και άλλα ευαίσθητα δεδομένα».
«Σιωπή» από FBI και CIA
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) δήλωσε ότι γνωρίζει την εκστρατεία.
«Η υπηρεσία συνεργάζεται με τους εταίρους της για να εμποδίσει τους χάκερ να εκμεταλλευτούν οποιοδήποτε από τα ευρήματα που περιγράφονται στην αναφορά», δήλωσε ο Nick Andersen, εκτελεστικός βοηθός διευθυντή για την κυβερνοασφάλεια της CISA.
Εκπρόσωποι του FBI και της CIA αρνήθηκαν να σχολιάσουν, ενώ η Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ (NSA) δεν απάντησε σε αίτημα για σχόλιο.
Οι χάκερ ενημέρωσαν τα θύματα
Οι ερευνητές της Palo Alto Networks επιβεβαίωσαν ότι η ομάδα κατάφερε να αποκτήσει πρόσβαση και να εξάγει ευαίσθητα δεδομένα από κάποιους διακομιστές email θυμάτων.
Η εταιρεία ενημέρωσε τα θύματα και τους προσέφερε βοήθεια, ενώ αναγνώρισε κάποια από αυτά στην αναφορά της, κάτι ασυνήθιστο για εταιρεία κυβερνοασφάλειας.
Στοχευμένες επιθέσεις σε 37 κράτη
Ορισμένες ενέργειες των χάκερ συνέπεσαν με ζητήματα ιδιαίτερης σημασίας για την κυβέρνηση της Κίνας.
Η κινεζική κυβέρνηση πρόσφατα απαγόρευσε σε εταιρείες της χώρας να χρησιμοποιούν προϊόντα της Palo Alto Networks, καθώς και τεχνολογία ασφάλειας από περισσότερους από δώδεκα άλλους Αμερικανικούς και Ισραηλινούς προμηθευτές, σύμφωνα με κυβερνητική οδηγία που είδε το Bloomberg News.
Σύμφωνα με το Axios, λίγο μετά την αναφορά του Mexico News Daily σχετικά με την έναρξη εμπορικής έρευνας από την Κίνα για τα προτεινόμενα σχέδια του Μεξικού να αυξήσει τους δασμούς, ερευνητές εντόπισαν κακόβουλη κίνηση που στόχευσε δύο υπουργεία του Μεξικού.
Ένα άλλο υποτιθέμενο περιστατικό παραβίασης καταγράφηκε την ημέρα μετά τη σύλληψη του ηγέτη της Βενεζουέλας, Νικολάς Μαδούρο, από τις αμερικανικές στρατιωτικές και αστυνομικές αρχές.
Από τις 4 Ιανουαρίου, οι χάκερ «πιθανότατα παραβίασαν» μια συσκευή που συνδέεται με μια εγκατάσταση της Venezolana de Industria Tecnológica, ενός οργανισμού που ιδρύθηκε ως κοινοπραξία μεταξύ της κυβέρνησης της Βενεζουέλας και μιας ασιατικής τεχνολογικής εταιρείας.
Η Venezolana de Industria Tecnológica δεν απάντησε σε email για σχόλιο.
Άλλη εκστρατεία στόχευσε κυβερνητικούς φορείς στην Τσεχία.
Τον Ιούλιο του 2025, ο πρόεδρος της Τσεχίας, Πετρ Πάβελ, συναντήθηκε με τον Δαλάι Λάμα και στις επόμενες εβδομάδες οι χάκερ προχώρησαν σε αναγνώριση στόχων του τσεχικού κράτους, συμπεριλαμβανομένων του Στρατού, της αστυνομίας, του Κοινοβουλίου και του υπουργείου Εξωτερικών.
Η Εθνική Αρχή Κυβερνοασφάλειας της Τσεχίας δεν σχολίασε την αναφορά, ενώ η Κινέζικη πρεσβεία στην Πράγα έχει προηγουμένως απορρίψει τις κατηγορίες ως «ανεπιβεβαίωτες».
Η ομάδα παραβίασε επίσης το υπουργείο Ορυχείων και Ενέργειας της Βραζιλίας, σημαντική βάση αποθεμάτων σπάνιων γαιών, σύμφωνα με την αναφορά.
Τον Οκτώβριο, Αμερικανοί διπλωμάτες είχαν συναντήσεις με στελέχη εταιρειών εξόρυξης στη χώρα. Ένας αξιωματούχος του υπουργείου δήλωσε ότι δεν έχει εντοπιστεί επίσημα κάποια επίθεση.
Οι χάκερ φέρεται να δραστηριοποιούνται επίσης στη Γερμανία, την Πολωνία, την Ελλάδα, την Ιταλία, την Κύπρο, την Ινδονησία, τη Μαλαισία, τη Μογγολία, τον Παναμά και άλλες χώρες.
Στην Ελλάδα, η ομάδα πιθανότατα παραβίασε υποδομές που σχετίζονται με το έργο «ΣΥΖΕΥΞΙΣ», το «έργο – πυρήνα» για τη συγκρότηση του Δικτύου Δημόσιου Τομέα (ΔΔΤ), το οποίο είχε στόχο τον εκσυγχρονισμό φορέων του δημόσιου τομέα μέσω υπηρεσιών υψηλής ταχύτητας ίντερνετ.