Mai întâi, Kremlinul a fortificat digital Rusia — înăuntru și în afară, cu un scut cu două fețe. Apoi a atacat Occidentul.
Acesta este episodul 8 din seria de investigații „Cortina de Fier Digitală” (13 episoade). În această serie, Investigative-Report radiografiază fortăreața digitală construită de Kremlin înainte de a lansa ofensiva informațională împotriva democrațiilor occidentale — de la legi, infrastructură și propagandă centralizată, până la Telegram, „cupola” electromagnetică, unitățile cibernetice ale GRU și exportul modelului în Europa.
Episodul anterior a documentat „cupola” electromagnetică și spațială — bruiaj, poziție indusă artificial (prin semnale satelitare), blocarea comunicațiilor și manevre de proximitate — nivelul care furnizează supravegherea și mijloacele de intervenție ale războiului hibrid, pe front și în profunzimea Europei. În episodul de față coborâm în rețele: Divizia cibernetică a GRU — Unitatea 26165 (Amenințare Persistentă Avansată 28 — APT28) și Unitatea 74455 („Sandworm”, evaluată recent ca APT44) — modul în care intră, colectează și sabotează infrastructuri în Ucraina și în Europa, profitând de ferestrele deschise de această „cupolă”.
Pentru a vedea cum se traduce în practică această combinație dintre „cupola” din spectru și Divizia cibernetică a GRU, coborâm în teren, la nivelul incidentelor care par obișnuite la suprafață, dar care trădează aceeași semnătură tehnică.
Într-un dispecerat energetic, o comandă „corectă” de comutare este înregistrată de sistem ca venind din interior, deși nimeni din sală nu a executat-o. În același timp, un aeroport intră pe proceduri de rezervă din cauza abaterilor de poziționare, iar într-o instituție publică, un cont de e-mail se autentifică regulamentar, dar autentificarea este folosită ca trambulină către alte servere. Anchetele tehnice care au urmat unor episoade ca acestea, în ultimul deceniu, duc în mod repetat la aceiași autori: unități din cadrul Direcției Principale a Statului Major al armatei ruse — GRU — specializate în acces discret la rețele, spionaj și sabotaj cibernetic. În iulie 2025, Guvernul Marii Britanii a așezat într-un singur profil oficial aceste capabilități, unitățile care le operează și țintele vizate în Europa
Ce sunt unitățile militare 26165 și 74455 și cum funcționează
În nomenclatorul GRU, unitățile militare poartă numere.
Unitatea 26165 este componenta GRU pentru infiltrare și culegere de informații: pătrundere discretă în rețele, cartografiere, furt de documente și, când se urmărește efect public, scurgeri organizate. În literatura de securitate cibernetică apare ca APT28 („Amenințare Persistentă Avansată 28”, Advanced Persistent Threat 28) sau „Fancy Bear”; în documentele britanice este „Centrul Principal de Servicii Speciale nr. 85” (GTsSS).
Unitatea 74455 este componenta GRU pentru sabotaj și operațiuni de distrugere: programe de ștergere (wipere), întreruperi deliberate de servicii, malware capabil să controleze instalații industriale. În rapoarte este numită „Sandworm” (în evaluări recente APT44); în actele oficiale apare ca „Centrul Principal pentru Tehnologii Speciale” (GTsST). Ambele au fost expuse și sancționate oficial de Regatul Unit la 18 iulie 2025, alături de Unitatea 29155 (operațiuni clandestine), cu nume de ofițeri și cazuri concrete.
Metoda comună
Poarta de intrare în rețeaua țintei arată adesea banal: un mesaj de „resetare” a parolei, un document între instituții, o actualizare software de încredere.
Unitatea 26165 exploatează astfel de intrări pentru a obține primul punct de sprijin, își extinde drepturile de acces în sistem, își asigură persistența — căi de acces „tăcute” — și colectează ce contează.
Unitatea 74455 se sprijină pe terenul deja pregătit sau intră separat atunci când scopul este efectul: opriri, ștergeri, comenzi de la distanță către instalații industriale.
Lanțul operativ se desfășoară, pe rând: recunoaștere; acces inițial; persistență și deplasare internă; fie exfiltrare (furt de date), fie producerea efectului (sabotaj); apoi ștergeri și acoperirea urmelor. Acest tipar reiese din documentele de sancțiuni și din fișa de profil publicată de autoritățile britanice.
Tactici și tehnici operaționale
Spionaj tehnic — acces discret la rețele (Unitatea 26165). Țintele sunt, de multe ori, obișnuite: servere de poștă, echipamente de rețea vechi, conturi de serviciu. În 2023–2025, Unitatea 26165 a fost legată de campanii care au exploatat o defecțiune critică în Outlook (CVE-2023-23397) ce permite extragerea „amprentei” parolei fără clic din partea utilizatorului, precum și de compromiterea unor routere cu parole implicite sau neactualizate. Alertele comune ale autorităților britanice și americane descriu exact aceste metode: extragerea credențialelor prin Outlook și mascarea traficului prin echipamente de rețea compromise (avertismente CISA). Documentele publice Microsoft și avizele tehnice ale agențiilor arată pașii și remediile.
Sabotajul „vizibil” — scoaterea din funcțiune a serviciilor esențiale și distrugerea sistemelor (Unitatea 74455). Industroyer și varianta Industroyer2 sunt programe care „vorbesc” limbajul instalațiilor electrice — protocoale industriale precum IEC-104 — și pot transmite comenzi valide către echipamente din substații, ca un dispecer. Așa se explică de ce, în Ucraina, oprirea curentului a arătat pe ecrane ca o operațiune internă, deși comenzile veneau din afară. Analizele ESET (sprijinite de CERT-UA) și alertele CISA/Dragos au documentat public acest mod de lucru.
NotPetya, pe scurt. NotPetya a fost un program de ștergere (wiper) deghizat drept „răscumpărare” (ransomware): a părut o cerere de bani, dar scopul a fost distrugerea. Departamentul de Justiție al SUA a legat operațiunea de Unitatea 74455 (Sandworm) și a detaliat pierderile mari și țintirea inițială din Ucraina, urmată de răspândire globală.
Cum acționează unitățile 26165 și 74455 (lanț operativ și tehnici)
Unitatea 26165: intră, rămâne, scoate informația. Operațiunea începe cu o cartografiere răbdătoare: adrese de serviciu, portaluri expuse, interfețe de e-mail și furnizori conectați zilnic cu instituția. Punctul de sprijin vine, de regulă, prin comunicări care par în regulă — un mesaj către o persoană-cheie, un document „între instituții” — sau prin exploatarea rapidă a unei breșe apărute în instrumente folosite de toată lumea. De aici, Unitatea 26165 transformă orice cont compromis într-o ancoră de durată: sarcini programate, servicii de sistem, conturi de serviciu „ajustate”, token-uri de acces. Mișcarea în interior se face pe căi perfect legitime (partajări de fișiere, conexiuni la distanță, interfețe web interne), astfel încât traficul să semene cu rutina administratorilor. Când mapa e completă, cutiile poștale și documentele operaționale sunt adunate pe noduri intermediare și scoase afară în perioade aglomerate — nopți, week-end — camuflate în fluxul obișnuit de backup. Dacă miza e politică, materialele apar „în lume” prin interpuși, într-un scenariu clasic de „fură-și-publică” (hack-and-leak), dozat pentru presiune maximă în momente cu miză.
Unitatea 74455: pregătește efectul, apoi îl declanșează. Sandworm pătrunde în rețelele „de birou” și caută culoarele către sistemele industriale — ICS (sisteme de control industrial) și SCADA (supraveghere și achiziție de date) — ori către platformele de administrare ale operatorilor de comunicații. Urmează inventarul „limbilor” pe care le vorbesc instalațiile: protocoale precum IEC-104 sau IEC-61850, rolurile întrerupătoarelor și topologia substațiilor; în telecom, nodurile centrale și mecanismele de management. În paralel, sunt așezate componente capabile să trimită comenzi valide „ca un operator” și programe de ștergere care să facă relansarea greoaie. Lovitura propriu-zisă nu lasă loc de interpretări: comenzi executate pe protocoale industriale, servicii tăiate, comunicații întrerupte — uneori acoperite de aparența unui „program de răscumpărare” (ransomware), deși scopul nu e banii, ci distrugerea. După impact, urmează etapa care doare cel mai tare: stații de lucru și servere șterse, controlul de domeniu lovit, platforme de administrare scoase din uz, ceea ce împinge operatorii spre reconstrucție sau înlocuiri fizice. Când aceste manevre sunt sincronizate cu „ceața” din spectru (bruiaj, devieri de navigație) și cu presiunea din teren, efectul se multiplică exact în orele în care echipele sunt cel mai solicitate.
Dosare care arată metoda, în detaliu
Rețele electrice, 2015–2016 — „comenzi corecte”, rezultat greșit. În două ierni consecutive, Ucraina a avut întreruperi de curent provocate cibernetic. În 2016, componenta numită „CrashOverride/Industroyer” a trimis comenzi valide către întrerupătoare prin protocolul industrial IEC-104, simulând un operator uman. ESET a publicat analiza tehnică („cea mai serioasă amenințare la adresa sistemelor industriale de la Stuxnet încoace”), iar autoritățile americane au emis alerte despre cum pot fi detectate și blocate astfel de comenzi. În 2015, atacatorii au lucrat inclusiv prin acces la distanță pe stații din dispecerat, ceea ce explică „normalitatea” comenzilor înregistrate; un an mai târziu, modularitatea Industroyer a permis țintirea directă a substațiilor, iar reluarea alimentării a fost întârziată de ștergeri pe stațiile operatorilor.
NotPetya, 2017 — de la un program de contabilitate la o epidemie globală. Atacul a pornit prin lanțul de aprovizionare: o actualizare de software folosită pe scară largă în Ucraina a fost alterată, iar malware-ul s-a răspândit apoi în rețele prin instrumente legitime de administrare și prin vulnerabilități cunoscute ale sistemelor Windows. Mesajul de „răscumpărare” a fost doar decorul; în spate, ștergerea a făcut ireversibilă compromiterea. Actul de acuzare american din 2020 îl leagă de Unitatea 74455 (Sandworm) și fixează atragerea în răspundere penală a șase ofițeri GRU. „Pacientul zero” a fost actualizarea unei aplicații contabile, iar mișcarea laterală a folosit chiar uneltele de administrare ale companiilor, astfel încât traficul a părut legitim. Efectul a lovit lanțuri logistice, transportul maritim și producția, cu pagube de ordinul miliardelor.
Haga, 2018 — OPCW și un flagrant. Serviciul militar de informații olandez (MIVD) a întrerupt, pe 13 aprilie 2018, o operațiune a unei echipe GRU care viza Organizația pentru Interzicerea Armelor Chimice (OPCW). Autoritățile au publicat detalii despre echipamentele confiscate și modul de lucru, iar înalți oficiali olandezi și britanici au prezentat cazul în conferință de presă. Echipa opera din proximitatea sediului, cu aparatură pregătită pentru a intercepta rețeaua fără fir a instituției; documentele olandeze au inclus chitanțe și trasee care duceau la adrese GRU din Moscova. Contextul investigației OPCW — cazurile Skripal și Siria — explică interesul pentru acces direct la rețeaua organizației.
Viasat KA-SAT, 24 februarie 2022 — lovitura care taie legăturile. Cu circa o oră înaintea invaziei pe scară largă, un atac a scos din funcțiune zeci de mii de terminale din rețeaua KA-SAT, afectând comunicații militare și civile în Ucraina și în mai multe state UE. Uniunea Europeană a condamnat public operațiunea, explicând că a facilitat agresiunea militară; compania Viasat a publicat propriul raport tehnic. Intrarea a vizat segmentul de management de la sol, iar comenzi malițioase au făcut modemurile nefuncționale, necesitând reinițializare sau înlocuire. Efectele colaterale s-au văzut imediat: mii de turbine eoliene din Germania au pierdut monitorizarea la distanță, ilustrând impactul civil dincolo de câmpul de luptă.
Kyivstar, decembrie 2023 — ce înseamnă „persistență” în practică. Cel mai mare operator mobil din Ucraina a suferit o întrerupere masivă; sirenele aeriene au avut sincope, servicii critice au fost afectate. Ancheta SBU a arătat că atacatorii (Sandworm/Unitatea 74455) au stat în rețea luni de zile, suficient cât să înțeleagă topologia, să poată intercepta SMS-uri, să deducă poziția telefoanelor și să pregătească distrugerea orchestrată. Evaluarea oficială consemnată public vorbește despre acces de durată și capacități de interceptare la nivel înalt. Lovitura a vizat simultan platforme centrale — inclusiv sisteme de autentificare — astfel încât revenirea a cerut reconstrucții parțiale și investiții consistente, iar întreruperile au fost resimțite la nivel național.
Operation Eastwood, iulie 2025 — când poliția și parchetele lovesc „frontul gri”. Europol și Eurojust au coordonat o operațiune internațională împotriva rețelei proruse NoName057(16), responsabilă pentru mii de atacuri de blocare prin supraîncărcare (DDoS — „negare distribuită a serviciului”) asupra instituțiilor și companiilor europene. Rezultatul: mandate, percheziții, întreruperea a peste o sută de servere și notificări către peste o mie de susținători ai rețelei privind răspunderea penală. Acțiunea a vizat atât infrastructura de găzduire, cât și canalele de coordonare, iar frecvența atacurilor a scăzut vizibil în zile cu miză — dovadă că frontul DDoS poate fi „tăiat” atunci când cooperarea polițienească și judiciară funcționează.
Reacțiile oficiale: Londra, NATO, Uniunea Europeană
Regatul Unit. La 18 iulie 2025, Londra a publicat profilul oficial al operațiunilor cibernetice și hibride ale GRU și a impus sancțiuni împotriva unităților 26165, 74455 și 29155, precum și împotriva unor ofițeri identificați nominal, descriind modul de operare, țintele europene și sincronizarea cu războiul convențional (GOV.UK).
NATO. În aceeași zi, Consiliul Nord-Atlantic a condamnat explicit activitățile cibernetice malițioase ale Rusiei, subliniind amenințarea la adresa securității aliaților și reafirmând solidaritatea cu statele vizate. Declarația fixează cadrul aliat pentru răspuns comun la campaniile hibride (NATO).
Uniunea Europeană. Tot pe 18 iulie 2025, Înaltul Reprezentant al UE a condamnat „campaniile hibride persistente” ale Rusiei împotriva UE, statelor membre și partenerilor, anunțând contramăsuri — inclusiv sancțiuni și întărirea rezilienței (Consiliul UE).
Cum profită intruziunile de „ferestrele” create în spectru
Când semnalele de poziționare prin satelit sunt bruiate sau imitate, operatorii trec pe proceduri de rezervă, rutele digitale se deviază, iar echipele tehnice sunt acaparate de menținerea serviciului. În astfel de ferestre se strecoară intrările: parole provizorii, conexiuni de urgență, aplicații expuse „temporar”. În cazul KA-SAT, întreruperea sincronizată a comunicațiilor a avut consecințe dincolo de câmpul de luptă — în administrație, energie, logistică — exact mediul în care Unitatea 26165 poate fura și cartografia, iar Unitatea 74455 poate lovi.
Țintele europene și de ce sunt vulnerabile
Energie. Infrastructura energetică îmbină software cu echipamente fizice — ICS (sisteme de control industrial) și SCADA (supraveghere și achiziție de date). Ciclurile de modernizare sunt lungi, iar multe sisteme au fost proiectate într-o epocă fără amenințările de astăzi; o intrare reușită se simte mult timp și se repară greu.
Transport și logistică. Depind de radio, satelit și IT. Când o verigă este afectată, celelalte sunt împinse la limită; apar „excepții” tolerate pe moment și scade vigilența — exact ferestrele folosite de intruși. NotPetya a arătat în 2017 cum lanțurile logistice pot fi puse în genunchi fără ca atacul să fi vizat explicit „transportul” ca sector.
Instituții publice și procese electorale. Au perioade previzibile de vârf (alegeri, închideri de buget, rotații de personal). APT28 a vizat în mod repetat servere de poștă și echipamente de rețea; alertele comune din Marea Britanie și SUA au descris tacticile, iar profilul britanic din 2025 indică ținte din guverne europene.
Lanțuri de aprovizionare. O instituție mare depinde de mii de furnizori. O singură verigă cu parole implicite, actualizări întârziate sau camere IP neprotejate poate deveni poartă de intrare; cazurile documentate arată că intruziunile „mărunte” sunt folosite ca pasarelă către sisteme critice.
„Frontul gri” (DDoS). Valurile de „negare distribuită a serviciului” nu „deschid” întrerupătoare, dar țin portaluri la pământ în zile cu miză, ocupă echipele IT și amplifică percepția de haos. Operațiunea Eastwood a arătat că și acest front poate fi desființat prin mandate, percheziții și confiscări.
Concluzie operativă
Divizia cibernetică a GRU — Unitatea 26165 și Unitatea 74455 — funcționează ca o mașinărie cu două roți dințate care se potrivesc: una intră și adună, cealaltă întrerupe și distruge. În jurul ei, bruiajul și devierile din spectru, plus „frontul gri” al DDoS-urilor, creează zgomotul în care intrarea se face mai ușor, iar atribuirea se complică. Partea bună este că reacția occidentală a ajuns la un nivel similar de coordonare: Londra atribuie și sancționează cu nume și unități; NATO fixează cadrul aliat de descurajare și răspuns; Uniunea Europeană condamnă și prelungește contramăsuri; poliția și parchetele europene desființează infrastructuri de „hacktiviști” care întrețin percepția de haos. Cazurile detaliate — rețelele electrice din 2015–2016, NotPetya, OPCW, KA-SAT, Kyivstar, Operation Eastwood — nu sunt episoade disparate, ci aceeași metodă aplicată în contexte diferite. Lecția pentru Europa, cu accent pe flancul Mării Negre, este limpede: siguranța nu stă în comunicate ferme după atac, ci în uși închise la timp, pază pe „limba” instalațiilor și cooperare fără orgolii. Așa rămân luminile aprinse când cineva, de departe, încearcă să le stingă.
În episodul 9: „Splinternet operațional” — cum arată în practică ruptura controlată a RuNet de internetul global, ce filtre și porți sunt folosite și cum se exportă acest model în proximitatea europeană.
Seria completă „Cortina de Fier Digitală” (13 episoade):
1. Scutul înaintea loviturii – începutul războiului digital rus
2. Harta strategică: logica războiului hibrid
3. Cronologia legilor: de la „agenții străini” la „căutarea interzisă” (2012–2025)
4. „Ochiul și timpanul” cu filtru rusesc: interceptare totală, filtrare la comandă și răspunsuri din interiorul RuNet-ului
5. Pumnul în gură presei: capturarea presei și monopolul statului asupra informației
6. Telegram, brațul digital înarmat al Kremlinului împotriva Occidentului
7. Cupola electromagnetică și spațială: bruiaj, poziție indusă artificial și sateliți în războiul hibrid al Rusiei
8. Divizia cibernetică a GRU: unitățile militare 26165 și 74455, de la spionaj la sabotaj în infrastructurile europene
9. Splinternet operațional
10. Studiu de caz: Moldova, România, Franța
11. „Apărarea permite atacul”
12. Breșe, contramăsuri, lecții pentru democrații
13. Epilog – Cortina digitală și timpul
About The Author
