Четыре года назад Албания разорвала дипломатические отношения с Ираном после разрушительной кибератаки на государственные системы. 10 марта 2026 года связанная с иранским КСИР группа Homeland Justice в третий раз успешно атаковала ключевой госинститут — парламент страны. Расследование BIRN показало: за прошедшие годы власти не устранили даже базовые уязвимости в системе защиты.
От дипломатического разрыва до повторного взлома
В июле 2022 года кибератака на платформу e-Albania стала поворотным моментом в отношениях Тираны и Тегерана. Албания официально обвинила Иран и выслала его дипломатов, включая посла. Это был один из самых жёстких ответов страны — члена НАТО на государственную кибератаку. Западные спецслужбы, включая ФБР и аналитиков Microsoft, подтвердили связь хакерской группы Homeland Justice с Корпусом стражей исламской революции (КСИР).
В июне 2025 года последовал второй удар — по цифровой инфраструктуре муниципалитета Тираны. И каждый раз власти обещали усилить защиту.
Утром 10 марта 2026 года четыре Telegram-канала Homeland Justice, молчавшие месяцами, ожили одновременно. Сообщение начиналось со знакомой формулы: предупреждение о том, что «приближается час ноль». В 11:44 хакеры опубликовали первые скриншоты — список электронных адресов депутатов и сотрудников аппарата парламента с домена parlament.al.
815 мегабайт депутатской переписки
В 14:11 того же дня Homeland Justice выложила архив объёмом 815 МБ. В нём — электронная переписка четырёх депутатов: Белинды Баллуку, Газменда Барди, Дамиана Гьикнури и Эди Палоки. Каналы группы, насчитывающие около 22 тысяч подписчиков, продолжают публиковать новые материалы.
«Все разговоры и переписка коррумпированных членов парламента за последние месяцы — в руках Homeland Justice. Мы гораздо ближе к вам, чем вы думаете» («Të gjitha bisedat dhe korrespondenca e deputetëve të korruptuar të Kuvendit janë në duart e Homeland Justice. Jemi më afër jush sesa mendoni»)
Homeland Justice, Telegram
Помимо архива переписки, хакеры опубликовали видеозаписи, демонстрирующие доступ к виртуальным серверам парламента и удаление данных в режиме реального времени. Для сотрудников парламента утро 10 марта началось с того, что они не смогли войти в почту и рабочие компьютеры — внутренняя почтовая система была приостановлена на несколько часов.
В Telegram-послании хакеры заявили, что атака — ответ на размещение в Албании иранской оппозиционной группы «Моджахедин-э Хальк» (MEK), базирующейся в прибрежном округе Дуррес.
Хакеры внутри — а сигнализация молчала
Расследование BIRN с участием независимых экспертов по кибербезопасности выявило: взлом не был однодневной операцией.
IT-эксперт Томи Калланджи, выступая в эфире телеканала Vizion Plus, установил: последние бэкапы электронной почты датированы 5–6 марта. Это означает, что хакеры находились внутри системы как минимум четыре дня — копируя данные и мониторя трафик, прежде чем нанести разрушительный удар.
«Не сотрудники учреждения обнаружили несанкционированный доступ — о взломе стало известно лишь после того, как сами злоумышленники опубликовали данные» («Nuk ishin stafi i institucionit që zbuloi aksesin e paautorizuar, por vetë forca dashakeqe që publikoi sulmin»)
Эрион Демири, IT-эксперт
По словам Демири, опубликованные видео демонстрируют доступ к платформе vCenter — системе управления виртуальными серверами, а также уничтожение виртуальных машин из инфраструктуры VDI (Virtual Desktop Infrastructure).
Что такое vCenter?
VMware vCenter — платформа централизованного управления виртуальными серверами. Доступ к ней означает контроль над всей цифровой инфраструктурой учреждения: возможность читать, копировать и удалять любые данные на всех серверах организации.
Калланджи объяснил, что проникновение на уровень root-сервера указывает на компрометацию учётной записи сотрудника — вероятно, через взлом или социальную инженерию. Он подчеркнул структурную проблему: парламент хранит электронную почту на собственных серверах вместо облачных платформ вроде Azure или Outlook, в отличие от прокуратуры SPAK, перешедшей на Microsoft Outlook.
«Пароли не менялись годами»
Эксперт по кибербезопасности Бесмир Семанай, проанализировав опубликованные данные, констатировал: речь идёт не просто об утечке документов, а о реальном доступе к IT-инфраструктуре парламента с административными привилегиями, включая доступ к VMware vCenter.
«Пароли в системе не обновлялись годами, что доказывает халатность и отсутствие защитных мер» («Fjalëkalimet në sistem janë të parinovuara prej vitesh, duke provuar neglizhencën dhe mungesën e masave mbrojtëse»)
Бесмир Семанай, эксперт по кибербезопасности
Списки пользователей и почтовых ящиков, опубликованные хакерами, свидетельствуют: учётные записи оставались активными без смены паролей даже после предыдущих инцидентов. По оценке Семаная, отсутствие массового сброса паролей, отзыва сессий и аудита доступа — признак того, что «институты не применили даже базовых мер безопасности после прежних инцидентов».
«Раз за разом после каждой атаки мы слышим, что ведётся работа, идёт расследование, налаживается сотрудничество — но что меняется по существу?» («Në mënyrë të përsëritur, pas çdo sulmi dëgjojmë se po punohet… por çfarë po ndryshon thelbësisht?»)
Оркидея Хаферай, центр SCiDEV
Хаферай подчеркнула: успешные атаки на ключевые институты ставят под сомнение эффективность расходов на кибербезопасность. Уязвимость парламента — уже не техническая, а системная проблема.
Парламент: «основная инфраструктура не затронута»
Вечером 10 марта парламент опубликовал официальное заявление. Инцидент был назван «изощрённой кибератакой», при этом утверждалось, что «основная рабочая инфраструктура не была затронута», а официальный сайт продолжил работу. Администрация сообщила о формировании совместной следственной группы с участием Национального агентства по кибербезопасности (AKSK), Государственной полиции, Киберкомандования и международных партнёров.
Эксперты прямо оспаривают эту оценку. Демири указывает: видеозаписи демонстрируют доступ к vCenter — ядру цифровой инфраструктуры. Определение атаки как «изощрённой» также вызывает сомнения: хакеры, по всей видимости, использовали старые и неизменённые учётные данные.
Кто такие Homeland Justice?
Хакерская группа, связанная с Корпусом стражей исламской революции Ирана (КСИР) по данным Microsoft и ФБР. С 2022 года атакует албанские госструктуры — в ответ на размещение в Албании иранской оппозиционной организации «Моджахедин-э Хальк» (MEK).
Ещё одно противоречие связано с утечкой данных. AKSK в предварительной оценке заявило об «отсутствии подтверждённой передачи данных». Между тем хакеры уже опубликовали 815 МБ депутатской переписки и продемонстрировали видеодоступ к серверам.
США осудили атаку
13 марта Государственный департамент США выступил с осуждением кибератаки, назвав её «враждебной киберактивностью против союзника по НАТО».
«Соединённые Штаты осведомлены и осуждают враждебные киберактивности против нашего союзника по НАТО, Албании. Соединённые Штаты активно помогают Албании в сфере кибербезопасности»
Государственный департамент США
Аналитики Албанского института международных исследований предупреждают: атака вписывается в более широкую картину иранского давления. На фоне войны на Ближнем Востоке и заявлений лидера MEK Марьям Раджави о формировании «временного правительства», Тегеран рассматривает кибератаки как наиболее доступный инструмент возмездия.
«Кибератаки гораздо более осуществимы и могут служить не только возмездием, но и предупреждением для Албании» («Cyberattacks are far more feasible and may serve not only as retaliation, but also as a warning to Albania»)
Албанский институт международных исследований
Парламенту предстоит восстановление инфраструктуры, которое, по словам Демири, сопряжено с дополнительными рисками: «вместе с резервными копиями обычно восстанавливается и уязвимость». Расследование продолжается — но ключевой вопрос BIRN остаётся без ответа: куда уходят деньги на кибербезопасность, если три успешных атаки за четыре года не привели к реальным изменениям?
Что дальше
Совместная следственная группа AKSK, полиции, Киберкомандования и международных партнёров начала работу, но ключевые вопросы — вектор проникновения и полный объём скомпрометированных данных — остаются открытыми. Homeland Justice продолжает публиковать новые материалы из парламентского архива на Telegram-каналах с аудиторией в 22 тысячи подписчиков. Параллельно парламенту предстоит восстанавливать инфраструктуру, и эксперты предупреждают: восстановление из бэкапов может вернуть систему в то же уязвимое состояние. На фоне осуждения атаки Госдепартаментом США и давления западных посольств на Тирану по вопросам верховенства права, инцидент усиливает дискуссию об институциональной состоятельности Албании как члена НАТО.
На что смотреть
- Публикации Homeland Justice в Telegram — группа заявила о доступе к «месяцам переписки» и может выкладывать новые порции данных, включая переписку других депутатов помимо четырёх уже скомпрометированных
- Результаты расследования совместной группы AKSK и международных партнёров — будет ли установлен вектор проникновения и реальный объём утечки, особенно с учётом противоречия между заявлением AKSK об «отсутствии передачи данных» и уже опубликованным архивом в 815 МБ
- Решения парламента о модернизации IT-инфраструктуры — перейдёт ли учреждение на облачные платформы и проведёт ли массовый сброс учётных данных, как рекомендуют эксперты Демири и Семанай
Горизонт: 1-2 недели
Уверенность: Средняя
Что может изменить сценарий: Homeland Justice публикует данные волнами и может как прекратить утечки, так и раскрыть более чувствительные материалы. Ход расследования зависит от сотрудничества с западными спецслужбами, темпы которого непредсказуемы.
Источники
Материал подготовлен на основе анализа публикаций:
1. «Homeland Justice pretendon se ka hakeruar emailet e Kuvendit» — Reporter.al (BIRN), Nensi Bogdani • Албания • 10 марта 2026 | Ссылка ➚
2. «Iran-linked hackers claim cyberattack on Albania’s parliament email systems» — The Record, Daryna Antoniuk • США • 11 марта 2026 | Ссылка ➚
3. «BIRN: Sulm i ri, gabime të vjetra! Pse Shqipëria mbetet e pambrojtur nga hakerat iranianë?» — Panorama.com.al • Албания • 13 марта 2026 | Ссылка ➚
4. «Cyberattack on Parliament’s IT System, Emails Published by Homeland Justice» — Euronews Albania • Албания • 10 марта 2026 | Ссылка ➚
5. «Kuvendi i Shqipërisë thotë se është goditur nga një sulm kibernetik» — Evropa e Lirë (RFE/RL) • Албания • 10 марта 2026 | Ссылка ➚
6. «Sulmi kibernetik ndaj Parlamentit, eksperti: Hakerat kishin ditë brenda sistemit» — Vizion Plus • Албания • 10 марта 2026 | Ссылка ➚
7. «Albanian Parliament Under Cyberattack Linked to Iran» — Tirana Times • Албания • 10 марта 2026 | Ссылка ➚
8. «Sulmi kibernetik i Iranit ndaj Kuvendit të Shqipërisë, DASH: Dënojmë këtë akt dashakeq kundër aleatit tonë» — Sot News, Klaudio Hoxha • Албания • 13 марта 2026 | Ссылка ➚
9. «Iran-Linked Cyberattack Strikes Albanian Parliament» — The European Conservative • Австрия • 11 марта 2026 | Ссылка ➚
Реакции в соцсетях:
- Telegram: Homeland Justice, 10 марта 2026 — цитируется в Reporter.al
- LinkedIn: Besmir Semanaj, 13 марта 2026 — цитируется в BIRN
- Facebook: Orkidea Xhaferraj (SCiDEV), 13 марта 2026 — цитируется в Panorama
- X: Albanian Institute for International Studies, 10 марта 2026 — цитируется в Tirana Times
Данный материал представляет собой обобщение информации из указанных источников. Редакция Smorodina.news стремится к максимальной точности, но рекомендует обращаться к оригинальным публикациям для получения полной картины событий.
© 2026 Smorodina.news. Материал предоставлен в соответствии с принципами добросовестного использования (Fair Use) исключительно в информационных целях.
