Центральный банк Армении: утечка внутренней сети, трекера проектов и анонимного доступа

Опубликовано: 11 апреля 2026 | Следственное подразделение OWL | Серия: Кибер-катастрофа Армении

Ключевой вывод: Центральный банк Армении (ЦБА) -- институт, управляющий резервами в $3,5 млрд и контролирующий всю банковскую систему -- оставил свою внутреннюю систему управления проектами (Jira) открытой для публичного интернета с включенным анонимным доступом. Wayback Machine зафиксировал утечку 13 февраля 2026 года. Та же инфраструктура раскрыла внутренний IP-адрес через ошибку конфигурации Citrix NetScaler, обнажив топологию сети банка.

Почему это важно

Центральный банк Армении -- это не просто государственное учреждение. Это институт, который:

  • Управляет валютными резервами на ~$3,5 млрд
  • Регулирует и контролирует каждый банк, работающий в Армении
  • Определяет денежно-кредитную политику, затрагивающую 3 миллиона граждан
  • Обрабатывает межбанковские расчеты всей финансовой системы
  • Принимает регуляторные решения, влияющие на курс валюты

Когда институт такой важности оставляет свои внутренние системы открытыми, последствия выходят далеко за рамки одной организации. Любой несанкционированный доступ к инфраструктуре ЦБА может поставить под угрозу финансовую стабильность всей страны.

Находка 1: Jira -- трекер проектов, открытый для всего мира

13 февраля 2026 года Wayback Machine сохранил снимок jira.cba.am -- внутреннего экземпляра Atlassian Jira Центрального банка. Jira -- это система управления проектами и отслеживания задач, широко используемая командами разработчиков.

Критическим является следующий параметр конфигурации, обнаруженный на сохраненной странице:

com.atlassian.jira.leaked.all.anonymous.access: true

Простым языком: анонимный доступ был включен. Это значит, что любой человек в интернете -- без логина и пароля -- мог потенциально просматривать внутренние проектные доски, задачи и обсуждения разработчиков Центрального банка.

Кэшированный экземпляр работал на Jira версии 9.4.9. Сам факт публичной доступности представляет фундаментальный провал безопасности для финансового регулятора.

Что могло быть раскрыто через Jira

  • Названия и описания проектов -- какие системы банк разрабатывает или модифицирует
  • Задачи с внутренними обсуждениями -- разговоры сотрудников об ошибках, функциях и архитектуре
  • Имена и email сотрудников -- из полей исполнителей и авторов задач
  • Графики развертывания -- когда системы обновляются (идеальное время для атак)
  • Внутренние названия систем и архитектура -- дорожная карта для более глубокого проникновения
  • Отслеживаемые уязвимости -- если отчеты об ошибках включают проблемы безопасности, атакующие получают бесплатную разведку

Находка 2: Утечка внутреннего IP через Citrix NetScaler

Анализ веб-инфраструктуры ЦБА показал, что JavaScript-файл Citrix NetScaler раскрыл внутренний IP-адрес:

Внутренний IP: 192.168.93.214
Источник: клиентский JavaScript Citrix NetScaler

Для нетехнических читателей: адреса 192.168.x.x -- это "частные" адреса, используемые только внутри сети организации. Они никогда не должны быть видны извне. Эта утечка сообщает атакующему:

  • Диапазон внутренней сети ЦБА (192.168.93.x)
  • Что ЦБА использует Citrix NetScaler для удаленного доступа -- продукт с историей критических уязвимостей (CVE-2023-4966 "Citrix Bleed")
  • Конкретный адрес внутреннего хоста, который можно атаковать при получении сетевого доступа

Это цифровой эквивалент того, как если бы банк случайно напечатал код от сейфа на фасаде здания.

Находка 3: Полный стек Atlassian

Расследование показало, что ЦБА использует не только Jira, а полный стек разработки Atlassian:

Система Назначение Уровень риска Что может быть раскрыто
Jira 9.4.9
jira.cba.am		 Управление проектами и задачами КРИТИЧЕСКИЙ Внутренние проекты, имена сотрудников, планы разработки, возможно отчеты об уязвимостях
Bamboo CI/CD
bamboo.cba.am		 Автоматизация сборки и развертывания КРИТИЧЕСКИЙ Конфигурации сборок, учетные данные развертывания, пути к исходному коду, адреса серверов
FishEye
fisheye.cba.am		 Просмотр и ревью исходного кода КРИТИЧЕСКИЙ Исходный код банковских приложений, история коммитов, идентификаторы разработчиков
eazyBI Бизнес-аналитика и отчетность ВЫСОКИЙ Агрегированные данные проектов, пользовательские отчеты, возможно финансовые метрики
McAfee Secure Web Mail
securewebmail.cba.am		 Шлюз зашифрованной электронной почты ВЫСОКИЙ Подтверждает инфраструктуру шифрования почты -- полезно для целевого фишинга
Citrix NetScaler Шлюз удаленного доступа / VPN КРИТИЧЕСКИЙ Точка удаленного доступа -- при компрометации дает вход во внутреннюю сеть

Вместе эти системы формируют полный цикл разработки программного обеспечения Центрального банка. Атакующий с доступом к этому стеку получил бы видимость того, что ЦБА создает, как это создается, исходный код и способы развертывания в рабочую среду.

Находка 4: securewebmail.cba.am -- McAfee Secure Web Mail

Обнаружение securewebmail.cba.am с McAfee Secure Web Mail подтверждает, что ЦБА обрабатывает конфиденциальные коммуникации, требующие шифрования. Хотя наличие зашифрованной почты -- положительный момент, его публичная обнаруживаемость дает атакующим конкретные цели для фишинговых кампаний.

Общая картина: кибер-катастрофа Армении

Экспозиция ЦБА -- не изолированный инцидент. Это часть системного провала армянских государственных институтов, задокументированного OWL в расследовании Кибер-катастрофа Армении:

Институт Скомпрометированные аккаунты Слабые пароли Последний взлом
gov.am (Правительство) 279 77% 4 марта 2026
mfa.am (МИД) 12 65% 9 марта 2026
parliament.am (Парламент) 13 100% Май 2024
cba.am (Центральный банк) 13 69% 6 января 2026
sns.am (СНБ) 10 100% 1 ноября 2025
police.am (Полиция) 5 67% Сентябрь 2023
armlex.am (Суды) 8 82% Июнь 2024
ИТОГО 351+ Катастрофический Активно

У ЦБА конкретно 13 скомпрометированных аккаунтов с 69% слабых паролей, последняя кража учетных данных -- 6 января 2026 года -- всего за несколько недель до того, как была зафиксирована утечка Jira. Это значит, что Центральный банк одновременно терял учетные данные через вредоносное ПО И оставлял свою инфраструктуру разработки открытой для интернета.

Сценарий атаки: от утечки до финансовой катастрофы

  1. Разведка: Анонимный просмотр jira.cba.am для картирования внутренних проектов, идентификации сотрудников, изучения архитектуры систем
  2. Получение учетных данных: Использование 13 уже скомпрометированных учетных записей ЦБА (доступных на рынках даркнета) для попытки входа в Jira, Bamboo, FishEye
  3. Вход в сеть: Атака на шлюз Citrix NetScaler с использованием известных CVE или украденных учетных данных
  4. Латеральное перемещение: Использование утекшего внутреннего IP (192.168.93.214) как отправной точки для картирования внутренней сети
  5. Доступ к исходному коду: FishEye предоставляет прямой доступ к исходному коду банковских приложений -- поиск уязвимостей в платежных системах
  6. Атака на цепочку поставок: Компрометация конвейера CI/CD Bamboo может внедрить вредоносный код в рабочие банковские системы
  7. Финансовый ущерб: Манипуляция межбанковскими расчетами, вывод резервов или нарушение работы всей финансовой системы Армении

Это не теория. Каждый компонент этой цепочки задокументирован как открытый.

Как проверить

Все находки этого расследования основаны на публично доступных, пассивных источниках. Активное сканирование или несанкционированный доступ не проводились. Любой может проверить:

  1. Wayback Machine: Ищите jira.cba.am на web.archive.org. Снимок от 13 февраля 2026 года содержит экземпляр Jira с флагом анонимного доступа.
  2. Логи прозрачности сертификатов: Ищите на crt.sh/?q=cba.am все SSL-сертификаты для поддоменов ЦБА, подтверждающие существование jira.cba.am, bamboo.cba.am, fisheye.cba.am и securewebmail.cba.am.
  3. DNS-записи: Стандартные DNS-запросы для перечисленных поддоменов подтвердят их существование (или недавнее удаление).

Примечание о методологии

OWL проводит только пассивное OSINT-исследование. Мы не выполняем активное сканирование, тестирование на проникновение или несанкционированный доступ. Все данные в этой статье получены из: кэшированных страниц Wayback Machine, логов прозрачности сертификатов (crt.sh), публично доступных баз утечек и опубликованных отчетов CyberHUB-AM. Мы не получали доступ к системам ЦБА.

Рекомендации

Для Центрального банка Армении:

  1. Немедленно ограничить доступ к Jira, Bamboo и FishEye только внутренней сетью (VPN/файрвол). Они никогда не должны быть доступны из публичного интернета.
  2. Провести аудит конфигураций Citrix NetScaler и убедиться, что патчи для CVE-2023-4966 (Citrix Bleed) и связанных уязвимостей установлены.
  3. Сменить все учетные данные для стека Atlassian -- считать их скомпрометированными.
  4. Проверить журналы аудита Jira на предмет анонимного доступа за период экспозиции.
  5. Провести аудит безопасности всего конвейера разработки перед дальнейшими развертываниями.
  6. Обязать использование надежных паролей и многофакторной аутентификации во всех системах. 69% слабых паролей недопустимо для финансового регулятора.

Хронология

ДатаСобытие
6 января 2026Последняя обнаруженная кража учетных данных ЦБА (вредоносное ПО-стилер)
13 февраля 2026Wayback Machine кэширует jira.cba.am с включенным анонимным доступом
11 апреля 2026OWL публикует данное расследование

OWL -- независимая организация расследовательской журналистики, сосредоточенная на прозрачности и подотчетности в Армении. Это расследование является частью нашей серии Кибер-катастрофа Армении, документирующей системные провалы кибербезопасности государственных институтов.

Если у вас есть информация об уязвимостях кибербезопасности армянских государственных институтов, свяжитесь с нами через наш onion-сайт.