Gjykata e Apelit të Posaçëm vendosi më 22 prill 2025, të lërë në burg Arnold Rrokajn dhe Zambak Gjonin, të akuzuar për ndërhyrjen kibernetike ndaj email-eve të disa prokurorëve të SPAK.
Hetimet zyrtare tregojnë se Rrokaj, ish-punonjës i IMT-së, pranoi të ketë hyrë në postat elektronike të prokurorëve, ndërsa Gjoni, ish-zyrtar i burgjeve dhe jurist, dyshohet se ka shpërndarë dokumentet sensitive tek persona të tretë.
Sulmi kibernetik ndodhi më 12 mars 2025, por SPAK reagoi përmes një deklarate zyrtare ditë më vonë, duke thënë se hakerat kanë arritur që të marrin të dhëna nga adresat e email-eve të disa prokurorëve, por nuk kanë arritur të depërtojnë në sistemin e brendshëm të sigurisë apo të rrjedhin dosje hetimore.
Prokuroria e Posaçme sqaroi se pas arrestimit të tyre kanë mundur edhe të sekuestrojnë pajisjet e përdorura për të realizuar ndërhyrjen si edhe skedarët (file) e shkarkuar.
“Shteg.org” ka analizuar rregulloren zyrtare të përdorimit të postës elektronike të SPAK, si dhe masat teknike të sigurisë që duhej të ishin në zbatim. Gjetjet sugjerojnë se ndërhyrja ishte e mundur edhe për shkak të mungesave strukturore në sistemin e sigurisë.
Gjetjet ngrenë dyshime se ndërhyrja e Rrokajt në email-et e prokurorëve ka qenë e mundur edhe për shkak të moszbatimit të standardeve të sigurisë, qoftë nga institucioni ashtu dhe nga vetë përdoruesit.
Duart në SPAK
Arnold Rrokaj është 33-vjeçari që pretendohet se ka pranuar të ketë ndërhyrë në postën elektronike të tre prokurorëve. Ish-punonjësi në IMT mësohet të ketë thënë se “e bëra nga kurioziteti”, duke lënë të kuptohet se, në fakt, ka përvetësuar materiale nga adresat e postës elektronike të prokurorëve.
Mirëpo, hetimi i çështjes tashmë është fokusuar tek fakti se Rrokaj, i cili dyshohet se ia ka dhënë të dhënat e përftuara Zambak Gjonajt dhe ky i fundit i ka shpërndarë në persona të tretë, ka funksionuar si grup kriminal me personat e tjerë në këtë “sulm” ndaj SPAK.
Sipas të dhënave hetimore ish-punonjësi i IMT-së, ia ka kaluar të dhënat Zambak Gjonit, edhe ai me profesion jurist, tek palë të treta, dhe se gjithçka ka nisur si një “lojë”. Por grupi i hetimit është i bindur që i riu nuk ka thënë të vërtetën.
Sulmi, siç njoftoi zyrtarisht SPAK, u sinjalizua në datën 12 mars 2025, dhe në harkun e 48 orëve janë identifikuar dy bashkëpunëtorët, ndaj të cilëve gjykata vendosi masën e “arrestit në burg”.
Gjykata e Posaçme, me kërkesë të prokurorisë, njëherazi urdhëroi “ndalimin e publikimit të dosjes”, përderisa hetimet po vazhdojnë ende për të zbuluar “grupin kriminal” që u përfshi në këtë aferë.
Ndërsa SPAK nëpërmjet një deklarate për shtyp garantoi se janë marrë të gjitha masat për mbrojtjen e dosjeve dhe të dhënave sensitive, po ashtu dhe ruajtjen e integritetit të infrastrukturës së institucionit.
Hetimet vazhdojnë në kuadër të dyshimeve për ekzistencën e një grupi të strukturuar kriminal, por “shteg.org” zbuloi mangësi serioze në sistemin e sigurisë, përfshirë mungesën e autentifikimit me dy faktorë (2FA) – një standard bazë në sigurinë digjitale.
Bazuar në urdhrin, “Për miratimin e rregullores së përdorimit të Postës dhe Komunikimit Elektronik” çdo nëpunës i SPAK duhet të zbatojë 4 rregulla që duhet të ndiqen patjetër për kyçjen në email.
Rregullorja e SPAK parashikon përdorimin e fjalëkalimeve të sigurta, por nuk përfshin detyrimin për autentifikim me dy faktorë, çka i lë përdoruesit të ekspozuar ndaj sulmeve të ndryshme si phishing, credential stuffing, brute force, apo instalimi i malware në pajisje personale.
Gjatë verifikimeve rezulton se, ndonëse ekzistojnë rregulla të përgjithshme për krijimin e fjalëkalimeve të sigurta – si përdorimi i germave të mëdha e të vogla, simbolesh dhe numrash, minimumi 10 karaktere – mungon një nga elementët më të rëndësishëm të sigurisë së postës elektronike: autentifikimi me dy faktorë (2FA).
Gjetjet e “shteg.org” ngrenë dyshime të ndërsjella në implementimin dhe zbatimin e sistemit të sigurisë të mailserver-it.
Ekspertët e sigurisë informatike të kontaktuar nga “shteg.org”, theksojnë se 2FA mund të kishte parandaluar aksesin e paautorizuar në email-et e prokurorëve. Verifikimi me një kod unik gjashtëshifror është një shtresë shtesë sigurie, që mund të sinjalizojë menjëherë një tentativë të dyshimtë për hyrje.
“Në momentin kur bëhet logimi në email, 2FA nëpërmjet një kodi unik (6-shifror) të bën të mundur verifikimin e logimit në email. Në rastet që nuk jeni ju që po prisnit kodin unik është një shenjë që dikush tjetër po kërkon aksesin në email” – thonë ekspertët.
Sipas urdhërit zyrtar të analizuar nga “shteg.org”, konfigurimi i mailserver-it të SPAK i lë përgjegjësi individuale përdoruesve të email-it për tu kyçur, po ashtu ngrihen dyshime dhe mbi mekanizmat e monitorimit që duhet të kishin penguar ndërhyrjen sipas implementimit të rregullave teknike të standarteve të institucionit.
Agjencia Kombëtare e Shoqërisë së Informacionit (AKSHI), në një përgjigje zyrtare, konfirmoi se nuk menaxhon serverin e email-it të Prokurorisë së Posaçme dhe nuk ofron as shërbime mirëmbajtjeje për infrastrukturën e saj të komunikimit.
Pse u sulmua SPAK
Në dokumentin “Për miratimin e rregullores së përdorimit të postës dhe komunikimit elektronik”, parashikohet që përdoruesit të log-ohen me kujdes, por nuk vihet re një mekanizëm të automatizuar për të garantuar që këto praktika të ndiqen realisht.
Sipas specialistëve të IT-së, komprometimi i llogarive të email-it përfshijnë metodat e mundshme si:
- Phishing (Spear Phishing), që është një email i krijuar për të mashtruar përdoruesin dhe për të marrë kredencialet.
- Credential Stuffing: Përdorimi i fjalëkalimeve të vjedhura nga databaza të tjera.
- Brute Force apo Dictionary Attack: Provime të vazhdueshme për të gjetur fjalëkalimin.
- Malware/Keylogger në pajisjen personale: Nëse ndonjë pajisje personale nuk është e mbrojtur.
Brute Force ose Dictionary Attack e përkthyer si mundësia e riprovimit të gërshetimit të këtyre karaktereve në mënyrë rastësore. Mirëpo kjo metodë, merr një kohë relativisht të gjatë dhe është thuajse e pamundur në sisteme të cilat janë të konfiguruara sipas standardeve të sigurisë (si ISO 27001, NIST, etj). Rregullorja nuk përmend asnjë element mbi standartet internacionale të sigurisë së sistemeve informacionit si ISO 27001, NIST, etj (Cybersecurity Framework).
Po ashtu, referuar Nenit 11 “Komunikimi elektronik”, pika 1, punonjësit e SPAK-ut “… përdorin edhe postën elektronike me anë të rrjetit elektronik të brendshëm të prokurorisë;” ekspertët e IT-së shpjeguan për “shteg.org” që teknikisht realizohet nëpërmjet mjeteve si vpn client (forti/check point client vpn, “Shtojca V pika 2 dhe 3”).
“Në qoftë se është përdorur kjo metodë, që është e vetme për tu loguar në sistemin e brendshëm ku dhe lejohet kyqja në mailserver, atëherë kjo tregon që rrjeti i brendshëm mund të ketë patur dhe ndërhyrje të tjera teknike (në qoftë se teknikisht nuk është izoluar saktë rrjeti kompjuterik). Kjo metodë lidhjeje për “hakëruesit” nëpërmjet “vpn client” përbën një rrezik të lartë në rrjetin e brendshëm të institucionit.” – thanë për “shteg.org” ekspertët e sigurisë së rrjeteve kompjuterike.
Sipas deklaratave të SPAK, “hakëruesit” nuk ka arritur të prekin dosjet hetimore apo sistemin e brendshëm të të dhënave.
Por, gjithashtu u pohua se rrjedhja e dokumenteve ishte e mundur, dhe se Rrokaj e Gjonaj dyshohet se i kanë shpërndarë tek gazetarë dhe zyrtarë të tjerë.
“Nga verifikimet, ka rezultuar se është ndërhyrë vetëm në adresat e e-maile-ve të disa prokurorëve, por jo në sistemin e përgjithshëm të IT-së të institucionit. Personat përgjegjës kanë arritur të marrin disa informacione, pa mundur të sigurojnë akses në dosje hetimore.” – thuhet në njoftim.
Prokuroria thotë se sulmi u krye nga “bashkëpunimi kriminal mes disa personave”, ndërsa analiza teknike e rregullores hamendësohet se autorët nuk përdorën teknikat e zakonshme për komprometimin e email-eve si phishing apo brute force. Kjo ngre dyshime të forta se ndërhyrja është lehtësuar nga dobësitë në zbatimin e protokolleve bazë të sigurisë.
Prokuroria e Posaçme nuk komentoi përgjegjësinë institucionale në mos marrjen e masave në infrastrukturën e komunikimit, por në njoftimin zyrtar thuhet se SAPK ka shtuar sigurinë pas sulmit të ndodhur më 12 mars të 2025.
“Janë marrë masa shtesë për forcimin e protokolleve mbrojtëse të sistemit të përgjithshëm të IT-së të institucionit.” – sqaron SPAK.
Hetimet vazhdojnë në kuadër të dyshimeve për ekzistencën e një grupi të strukturuar kriminal, por ekspertët thonë se zbulimi i ndërhyrjes kibernetike ngre pikëpyetje mbi protokollet e sigurisë dhe mbrojtjen e të dhënave sensitive nga prokurorët e posaçëm.
“Të gjitha këto teknika si phishing, credential stuffing dhe brute force, do të ishin të pasuksesshme nga “sulmuesit” nëse protokollet e sigurisë do të ekzistonin dhe do të zbatoheshin rreptësisht nga përdoruesit e SPAK” – thanë për “shteg.org” ekspertët e sigurisë informatike.
Gazetare në “Rrjetin e Raportimit të Krimit të Organizuar dhe Korrupsionit në Shqipëri”- RRKOKSH.
Studente në fakultetin e historisë dhe filologjisë, Universiteti i Tiranës.