Третий удар: иранские хакеры снова взломали парламент Албании

После двух успешных кибератак в 2022 и 2025 годах связанная с Ираном группировка Homeland Justice в третий раз проникла в цифровую инфраструктуру Албании — на этот раз в системы парламента. Хакеры получили административный доступ к серверам, опубликовали 815 мегабайт переписки депутатов и удалили данные. Эксперты по кибербезопасности заявляют: проблема не в изощрённости атаки, а в том, что страна так и не устранила уязвимости после предыдущих инцидентов.

Четыре года, три атаки, ноль выводов

Группировка Homeland Justice впервые атаковала Албанию в июле 2022 года. Тогда пострадал портал государственных услуг e-Albania, а удар оказался настолько серьёзным, что Тирана пошла на беспрецедентный шаг — разорвала дипломатические отношения с Ираном и выслала его дипломатов. Западные спецслужбы и исследователи в области безопасности связали Homeland Justice с Корпусом стражей исламской революции (КСИР). Группировка каталогизирована в базе MITRE ATT&CK как кампания C0038 с иранской государственной атрибуцией.

В июне 2025 года последовал второй удар — на этот раз по цифровой инфраструктуре муниципалитета Тираны. А 9 марта 2026 года хакеры вернулись снова. Их мишенью стал парламент страны — Кувенди.

Мотив атак остаётся неизменным. Албания предоставила убежище более чем двум тысячам членов иранской оппозиционной организации «Моджахедин-э Халк» (МЕК), базирующейся в прибрежном регионе Дуррес. В своём заявлении в Telegram хакеры прямо назвали атаку возмездием за поддержку МЕК. Публикация совпала по времени с недавними заявлениями лидера МЕК Марьям Раджави о формировании «временного правительства», призванного заменить нынешнее руководство Ирана.

815 мегабайт за один день

Вечером 9 марта служба безопасности парламента зафиксировала несанкционированный доступ к сети — примерно в 21:00. Однако публичным инцидент стал только на следующий день, когда сами хакеры начали публикацию украденных данных.

10 марта в 11:44 Homeland Justice разместили в четырёх Telegram-каналах, насчитывающих около 22 тысяч подписчиков, список электронных адресов парламента и скриншот страницы входа в домен parlament.al. В 14:11 последовал основной массив — 815 мегабайт электронной переписки депутатов Белинды Баллуку, Газменда Бардхи, Дамиана Гикнури и Эди Палоки.

«Вся переписка и корреспонденция коррумпированных депутатов за последние месяцы — в руках Homeland Justice. Мы гораздо ближе к вам, чем вы думаете» («All conversations and correspondence of the corrupt members of Parliament over the past months are in the hands of Homeland Justice. We are much closer to you than you think»)

Homeland Justice, Telegram

В тот же день было опубликовано видео, демонстрирующее доступ к серверам парламента через VMware vCenter — платформу управления виртуализацией — и процесс удаления данных.

«Не атака, а халатность»

Парламент Албании охарактеризовал инцидент как «изощрённую кибератаку, направленную на удаление данных и компрометацию внутренних систем». Но при этом заявил, что «основная рабочая инфраструктура не пострадала», а официальный сайт продолжает функционировать. Сотрудники парламента и депутаты не могли получить доступ к компьютерам и электронной почте в течение нескольких часов.

Независимые эксперты нарисовали иную картину. Специалист по кибербезопасности Бесмир Семанай, проанализировав опубликованные данные, установил: произошла не просто утечка документов, а полноценный «реальный доступ к IT-инфраструктуре парламента» с административными привилегиями.

«Это свидетельствует об отсутствии минимальных мер реагирования — массового сброса паролей, отзыва сессий, аудита доступов. Институты не внедрили даже базовые меры безопасности после предыдущих инцидентов» («This shows a lack of minimum response measures, such as a mass password reset, session revocation and access audits — institutions have not implemented even the basic security measures»)

Бесмир Семанай, эксперт по кибербезопасности

По данным Семаная, пароли в системе не обновлялись годами. Опубликованные списки пользователей и почтовых ящиков показали: учётные записи оставались активными с неизменёнными паролями даже после атак 2022 и 2025 годов. Для парламентского IT-персонала это означает, что злоумышленники могли в любой момент вернуться, используя старые учётные данные.

Эксперт Эрион Демири обратил внимание на ещё более тревожный факт: системы обнаружения вторжений не сработали. Хакеры находились внутри инфраструктуры длительное время, а несанкционированный доступ обнаружили не сотрудники парламента, а сами атакующие — опубликовав результаты взлома.

«Хакеры получили доступ к критической инфраструктуре и находились внутри системы долгое время, а сигнализация не сработала. Не сотрудники учреждения обнаружили несанкционированный доступ, а сами злоумышленники — опубликовав атаку» («Hackers accessed critical infrastructure and were inside the system for a long time while alarms had not functioned — it was not staff who detected the breach but the attackers themselves»)

Эрион Демири, IT-эксперт

Системная уязвимость

Оркидея Хаферай из Центра науки и инноваций для развития (SCiDEV) подчеркнула: повторяющиеся успешные атаки на ключевые институты Албании ставят под сомнение эффективность всех принятых мер.

«Высокая уязвимость институтов — в данном случае парламента — это уже не просто техническая проблема, а системная. Каждый раз после атаки мы слышим, что ведётся работа, идёт расследование, привлекаются партнёры — но что меняется по существу?» («The high vulnerability of institutions, parliament in this case, is no longer simply a technical issue; it is a systemic one. What is fundamentally changing?»)

Оркидея Хаферай, эксперт SCiDEV

Национальное управление кибербезопасности Албании (AKSK) создало рабочую группу и направило команды для технического анализа. Ведомство сообщило о мерах по «изоляции подозрительного трафика и нейтрализации атаки». 11 марта была сформирована объединённая оперативная группа с участием специалистов по кибербезопасности, Управления по расследованию киберпреступлений полиции и Киберкомандования Министерства обороны.

Расследование и открытые вопросы

Официальная Тирана пока не подтвердила публично атрибуцию атаки, хотя ранее все три инцидента связывались с иранскими прогосударственными структурами. Кибербезопасность Албании расследуют совместно национальные ведомства и международные партнёры.

По оценке Демири, хотя удаление данных датировано 10 марта, фактический несанкционированный доступ «мог произойти значительно раньше» — у атакующих было время копировать и мониторить сеть, прежде чем перейти к активным действиям. Публикация внутренней структуры серверов, по словам Семаная, увеличивает риск новых атак.

Ключевой вопрос экспертного сообщества не в том, произойдёт ли следующая атака, а в том, будут ли наконец приняты системные меры для её предотвращения. За четыре года и три успешных взлома ответ албанских институтов остаётся реактивным: создание рабочих групп, обещания расследований, заявления о сотрудничестве — но пароли по-прежнему не сменены.

Что дальше

Три успешные атаки за четыре года при неизменных уязвимостях создают устойчивый паттерн: Homeland Justice возвращается, потому что может. Объединённая оперативная группа с участием AKSK, киберполиции и Киберкомандования Минобороны уже работает, но эксперты единодушны — предыдущие расследования не привели к системным изменениям. Ключевой фактор ближайших недель — публикация внутренней структуры серверов парламента, которая, по оценке специалистов, увеличивает риск новых атак на другие государственные системы Албании.

На что смотреть

• Приведёт ли работа объединённой оперативной группы к реальным реформам кибербезопасности — массовому сбросу паролей, внедрению систем обнаружения вторжений и аудиту доступов, — или ограничится очередными заявлениями
• Содержат ли 815 мегабайт утечённой переписки депутатов политически чувствительную информацию, способную повлиять на внутриполитическую ситуацию в Албании
• Последуют ли новые атаки на государственные учреждения Албании с использованием опубликованных данных о внутренней структуре парламентских серверов

Горизонт: 1-2 недели

Уверенность: Высокая

Что может изменить сценарий: Неизвестно, как долго хакеры находились в системе до обнаружения и какой объём данных был скопирован помимо опубликованных 815 мегабайт — реальный масштаб компрометации может оказаться значительно шире

Источники

Материал подготовлен на основе анализа публикаций:

1. «Iran-Linked Hackers’ Fresh Strike on Albania Highlights Continued Negligence» — Balkan Insight (BIRN) • Албания • 13 марта 2026 | Ссылка ➚

2. «Iran-linked hackers claim cyberattack on Albania’s parliament email systems» — The Record (Recorded Future News), Daryna Antoniuk • США • 11 марта 2026 | Ссылка ➚

3. «Cyberattack on Parliament’s IT System, Emails Published by Homeland Justice» — Euronews Albania, Nen Si • Албания • 10 марта 2026 | Ссылка ➚

4. «Albanian Parliament Under Cyberattack Linked to Iran» — Tirana Times • Албания • 10 марта 2026 | Ссылка ➚

5. «BIRN: New attack, old mistakes! Why does Albania remain vulnerable to Iranian hackers?» — Balkanweb / News24 • Албания • 13 марта 2026 | Ссылка ➚

6. «Iran-Linked Cyberattack Strikes Albanian Parliament» — The European Conservative • Австрия • 11 марта 2026 | Ссылка ➚

7. «Iran-linked hackers claim cyberattack on Albania’s parliament email systems» — Rankiteo Blog • США • 11 марта 2026 | Ссылка ➚

Реакции в соцсетях:

• Telegram: Homeland Justice, 10 марта 2026 — ссылка

Данный материал представляет собой обобщение информации из указанных источников. Редакция Smorodina.news стремится к максимальной точности, но рекомендует обращаться к оригинальным публикациям для получения полной картины событий.

© 2026 Smorodina.news. Материал предоставлен в соответствии с принципами добросовестного использования (Fair Use) исключительно в информационных целях.