Cine este hackerul care susține că a atacat Cadastrul. Numele real indicat de experți

Hacker
ByteToBreach ar fi hackerul care a furat baza de date a ANCPI / Foto: Magnific
ByteToBreach, hackerul care susține că a atacat sistemele ANCPI, ar fi un tânăr din Algeria, potrivit unei investigații private. Identitatea nu a fost confirmată oficial.

ByteToBreach, hackerul care susține că a pătruns în sistemele Agenției Naționale de Cadastru și Publicitate Imobiliară, nu ar fi membrul unei grupări controlate de un stat, ci un infractor cibernetic motivat de bani. O companie de cyber intelligence susține că a reușit să identifice persoana care s-ar afla în spatele pseudonimului, însă informația nu a fost confirmată de autorități.

Hackerul a acordat un interviu Euronews România prin intermediul unei aplicații de mesagerie securizată. Discuția s-a desfășurat exclusiv în scris, astfel că publicația a comunicat cu persoana care controlează canalul asociat numelui ByteToBreach, nu cu un individ a cărui identitate să fi fost verificată oficial.

În cadrul interviului, acesta și-a cerut scuze pentru problemele provocate cetățenilor și angajaților IT ai ANCPI, dar a confirmat că motivația atacului ar fi financiară.

KELA indică un posibil nume real

Compania israeliană de informații privind amenințările cibernetice KELA susține că ByteToBreach ar fi operat de o persoană numită Zakaria Mahdjoub, aflată în Oran, Algeria.

Evaluarea ar fi fost realizată pe baza unor date recuperate de pe dispozitive infectate cu programe de tip infostealer, a cookie-urilor de browser și a altor urme digitale asociate conturilor folosite de hacker.

Informația trebuie însă privită cu precauție. Identitatea indicată de KELA reprezintă o atribuire realizată de o companie privată, nu o identificare anunțată de Poliția Română, procurori, DNSC sau de o altă autoritate publică.

Nu există, până în acest moment, o confirmare oficială că Zakaria Mahdjoub este persoana care folosește pseudonimul ByteToBreach.

Hacker activ din 2025

Potrivit KELA, ByteToBreach este activ cel puțin din iunie 2025 și a operat pe mai multe forumuri și platforme online, printre care DarkForums, Dread și Telegram.

Acesta ar fi vândut sau publicat baze de date despre companii aeriene, bănci, universități, instituții guvernamentale și alte organizații considerate ținte de mare valoare.

Hackerul și-a creat inclusiv un site public, intitulat „Pentesting Ltd”, conceput astfel încât să semene cu pagina unei companii de securitate informatică. Organizațiile pe care pretinde că le-a atacat sunt prezentate ironic drept „clienți”.

SOCRadar îl descrie drept un comerciant de date furate și un „access broker”, adică un infractor care obține acces la sistemele unei organizații și îl poate vinde altor grupări. Compania apreciază că în spatele operațiunilor s-ar afla o singură persoană cu experiență tehnică sau o echipă foarte restrânsă.

Cum ar acționa ByteToBreach

Metodele atribuite hackerului includ exploatarea vulnerabilităților cunoscute din aplicații și infrastructuri informatice, utilizarea parolelor furate prin phishing sau programe infostealer, atacurile de tip brute-force și profitarea de sistemele configurate necorespunzător.

După pătrunderea într-o rețea, ByteToBreach ar căuta baze de date, copii de siguranță, documente interne, parole și alte informații care pot fi vândute sau folosite pentru șantajarea organizației atacate.

În cazul ANCPI, hackerul susține că ar fi obținut baze de date cu informații despre cetățeni, o copie a serverelor GitLab și codul-sursă al unor sisteme importante, precum e-Terra și RENNS. Acesta pretinde, de asemenea, că ar fi instalat ransomware în rețeaua instituției.

Afirmațiile îi aparțin atacatorului. ANCPI a transmis că bazele de date și informațiile administrate prin sistemele instituției nu au fost compromise sau sustrase.

DNSC: Nu este un actor statal

Directorul Directoratului Național de Securitate Cibernetică, Dan Cîmpean, a declarat că informațiile deținute de instituție indică un actor motivat financiar, suspectat că ar fi de origine algeriană.

„Nu este un actor statal, este un actor motivat financiar, suspectat de a fi de origine algeriană și actor care aparent este specializat în obținerea accesului inițial”, a explicat șeful DNSC.

Potrivit acestuia, ByteToBreach ar acționa ca un „access broker”, fiind implicat în pătrunderea inițială în rețele, extragerea datelor și utilizarea lor pentru extorcare.

Așadar, autoritățile române confirmă profilul general și posibila origine algeriană a atacatorului, nu și numele real indicat de KELA.

Oana Pavelescu este jurnalist specializat în domeniul economic și financiar, cu experiență solidă în analiza politicilor fiscale, a piețelor energetice și a evoluțiilor macroeconomice din România și din spațiul european. Abordează subiectele cu rigoare, atenție la detaliu și orientare către impactul concret asupra mediului de afaceri și asupra populației. Are expertiză în interpretarea documentelor oficiale – de la acte normative publicate în Monitorul Oficial până la rapoarte ale BNR, ANRE sau ale altor instituții-cheie – pe care le transformă în materiale clare, bine structurate și relevante pentru publicul interesat de economie, companii și politici publice.
x close