Pasi kishin heshtur për muaj me radhë, katër kanale në Telegram që i shërbejnë të ashtuquajturit grupi “Homeland Justice” u bënë të gjalla të martën në mëngjes. Në një skemë të njohur që fillon me një mesazh mbi paralajmërimet e bëra dhe se po “i afrohemi orës zero”, hakerat pretenduan se kishin sulmuar dhe marrë nën kontroll serverat e Kuvendit të Shqipërisë dhe zotëronin korrespondencën e deputetëve.
Mesazhi i parë që përmbante një foto me një listë emailesh dhe hyrjen e një emaili nga domain parlament.al u publikua në orën 11:44 të së martës.
“Të gjitha bisedat dhe korrespondenca e anëtarëve të korruptuar të Kuvendit gjatë muajve të fundit janë në duart e Homeland Justice. Ne jemi shumë më afër jush nga sa mendoni”, thuhej në mesazh.
Në orën 14:11, hakerat publikuan një folder me 815 megabyte materiale nga emailet e shkëmbyera në adresën zyrtare të deputetëve Belinda Balluku, Gazmend Bardhi, Damian Gjiknuri dhe Edi Paloka.
Një video e publikuar po atë ditë tregoi se grupi kishte akses në serverat virtualë të Kuvendit të Shqipërisë, ndërsa u dëshmua fshirja e materialeve nga këta servera.
Në një reagim zyrtar po të martën, Kuvendi i Shqipërisë e cilësoi incidentin si një “sulm të sofistikuar” dhe pretendoi se “infrastruktura kryesore e punës nuk është prekur”.
Por ekspertët e pavarur të sigurisë së informacionit vizatojnë një tablo krejt të ndryshme dhe ngrenë pikëpyetje mbi neglizhencën e përsëritur institucionale.
Eksperti i IT, Erion Demiri i tha BIRN se hakerat kanë aksesuar infrastrukturën kritike dhe se kanë qenë për një kohë të gjatë brenda sistemit, ndërsa alarmet nuk kanë funksionuar.
Pasi analizoi të dhënat e publikuara, edhe Besmir Semanaj vë në dukje se fjalëkalimet në sistem janë të parinovuara prej vitesh, duke dëshmuar neglizhencë dhe mungesë masash mbrojtëse.
Sulmi mbi infrastrukturën digjitale të Kuvendit është sulmi i tretë i suksesshëm i grupit të ashtuquajtur Homeland Justice, pas atij që targetoi “e-Albania” në vitin 2022 dhe sulmit ndaj infrastrukturës digjitale të Bashkisë së Tiranës në qershor të vitit që shkoi.
Akses në thellësi të infrastrukturës
Grupi i hakerave filloi publikimin e të dhënave më 10 mars 2026 në katër kanale aktive në aplikacionin Telegram, të cilat ndiqen nga rreth 22 mijë përdorues. Publikimet vazhdojnë ende dhe përfshijnë arkiva masive të e-maileve të stafit të Kuvendit (të domain-it @parlament.al), si dhe video që tregojnë aksesimin në thellësi të sistemeve dhe fshirjen e të dhënave nga serverët.
Pamjet e publikuara nga “Homeland Justice” tregojnë lëvizje të lira brenda rrjetit të Kuvendit. Eksperti i IT-së, Erion Demiri, thekson se videot tregojnë aksesimin e hard drive-ve të serverëve të ndryshëm dhe fshirjen e makinave virtuale nga një infrastrukturë VDI (Virtual Desktop Infrastructure).
“Veprimet e kryera janë destruktive dhe sjellin ndërprerjen e punës dhe humbjen e madhe të të dhënave në makinat e afektuara,” shpjegon Demiri. Sipas tij, ndonëse fshirja e të dhënave mban datën 10 mars 2026, aksesi i paautorizuar në sisteme “mund të jetë kryer shumë kohë më parë”, duke i dhënë kohë sulmuesve të kopjojnë dhe monitorojnë rrjetin përpara se të kryenin veprimin shkatërrues.
Fakti që sulmi u bë publik nga vetë hakerat dhe jo nga sistemet e monitorimit të institucionit, tregon një mungesë shqetësuese të sistemeve të detektimit të ndërhyrjeve të huaja në rrjet.
“E sigurt nga mënyra e sjelljes është që nuk ka qenë stafi i institucionit që ka dalluar aksesin e autorizuar, por vetë forca keqbërëse që ka publikuar sulmin,” tha Demiri.
Dështim i masave bazë
Shqetësimi kryesor që ngrihet nga ekspertët nuk është vetë sulmi, por lehtësia me të cilën ai është kryer, çka sugjeron mosmarrjen e asnjë mase pas historikut të gjatë të sulmeve kibernetike në Shqipëri.
Besmir Semanaj, ekspert i sigurisë kibernetike, vëren se komprometimi nuk ka qenë thjesht një rrjedhje dokumentesh, por një “akses real në infrastrukturën IT të Kuvendit”, me hakerat që kanë pasur privilegje administrative (akses në VMware vCenter).
Më alarmante, sipas Semanajt, është fakti që listat e përdoruesve dhe mailbox-eve të publikuara sugjerojnë se llogaritë kanë mbetur aktive dhe pa ndryshuar fjalëkalimet edhe pas sulmeve të mëparshme.
“Kjo tregon mungesë të masave minimale të reagimit si passëord reset masiv (rinovim i fjalëkalimeve), revokim sesionesh dhe auditim aksesesh,” thekson Semanaj. Ai paralajmëron se publikimi i strukturës së brendshme të serverëve rrit rrezikun për sulme të mëtejshme dhe dëshmon se “institucionet nuk kanë zbatuar as masat bazë të sigurisë pas incidenteve të mëparshme.”
Të njëjtin shqetësim ka edhe Orkidea Xhaferraj, eksperte në Qendrën për Shkencë dhe Inovacion për Zhvillim, SCiDEV, e cila thotë se sulmet e përsëritura të suksesshme ndaj institucioneve kyçe shqiptare “ngrenë një pikëpyetje të madhe” për masat e marra për të garantuar sigurinë e infrastrukturës digjitale, pavarësisht shpenzimeve të kryera.
“Cenueshmëria e lartë e institucioneve, Kuvendit në këtë rast, nuk është më thjesht një çështje teknike, është një çështje sistemike. Në mënyrë të përsëritur, pas çdo sulmi dëgjojmë se po punohet për adresimin, po hetohet, po bashkëpunohet me entitete të treta, por çfarë po ndryshon thelbësisht?!”, pyet në mënyrë retorike Xhaferraj.
Ekspertët ngrenë dyshime për lehtësinë me të cilën ndodhin këto sulme dhe aludojnë, në mungesë të një transparence të plotë, se ato mund të jenë edhe organizime të brendshme për tërheqje vëmendje nga problemet e tjera në vend.
“Sa herë ka konflikt të brendshën kemi hakërrim”, thotë Semanaj, që kërkon më shumë transparence për mënyrën se si janë përdorur paratë për sigurinë kibernetike.
Kuvendi i minimizoi dëmet nga sulmi. Në një njoftim për mediat të martën, Kuvendi pretendoi se aksesi i paautorizuar ishte vënë re mbrëmjen e të hënës rreth orës 21:00.
Institucioni deklaroi se “nga analizat e para rezulton se infrastruktura kryesore e punës nuk është prekur” dhe se faqja zyrtare vazhdon të funksionojë”. Kuvendi njoftoi ngritjen e një skuadre të përbashkët teknike dhe hetimore me Autoritetin Kombëtar për Sigurinë Kibernetike (AKSK), Policinë e Shtetit, Komandën Kibernetike dhe partnerë ndërkombëtarë.
Megjithatë sipas ekspertëve, pretendimi zyrtar se “infrastruktura kryesore nuk është prekur” bie ndesh me provat vizuale të aksesit në platformën qendrore të menaxhimit të serverëve virtualë (vCenter), e cila përfaqëson thelbin e infrastrukturës digjitale të një institucioni modern. Gjithashtu, përcaktimi i sulmit si “i sofistikuar” vihet në dyshim nga fakti se hakerat duket se kanë përdorur kredenciale të vjetra e të pandryshuara për të hyrë në sistem.
Aktualisht, institucioni po përballet me sfidën e ringritjes së infrastrukturës nga e para. Siç paralajmëron eksperti Demiri, ky proces duhet bërë me kujdes të jashtëzakonshëm përmes kopjeve rezervë (backups), pasi “së bashku me backup zakonisht rikthehet edhe vulnerabiliteti”, duke e lënë derën sërish të hapur për sulme të ngjashme në të ardhmen.
Ndërkohë, serioziteti me të cilin Shqipëria e trajton infrastrukturën digjitale u vu në dyshim në fund të vitit që shkoi pasi hetimet e Prokurorisë së Posaçme ngritën akuza për përfshirjen e grupeve kriminale në përcaktimin e tenderave të Agjencisë Kombëtare të Shoqërisë së Informacionit, AKSHI./BIRN
