OWL Investigation -- Cybersecurity
Armenia's Central Bank Exposed: Internal Network, Project Tracker, and Anonymous Access
Wayback Machine cached the Central Bank's Jira dashboard on February 13, 2026. It revealed internal IP 192.168.93.214, a Citrix NetScaler load balancer, and a configuration flag suggesting anonymous access to all data. The institution that manages Armenia's $3.5 billion in reserves has its project management, code review, and CI/CD pipeline exposed. · IPFS mirror
Армения: Центральный Банк под угрозой: внутренняя сеть, трекер проектов и анонимный доступ
Опубликовано: 11 апреля 2026 | Специальная инвестигационная группа OWL | Часть серии: Кибер-катастрофа в Армении
Ключевой вывод: Центральный Банк Армении (CBA) — учреждение, управляющее резервами на сумму $3,5 миллиарда и надзирующее всей банковской системой — оставило свой внутренний системный менеджмент проектов (Jira) открытым для публичного доступа с включенным анонимным доступом. Wayback Machine закешировала утечку 13 февраля 2026 года. Та же инфраструктура утекла внутренний IP-адрес через неправильную конфигурацию Citrix NetScaler, раскрыв топологию сети банка.
Почему это важно
Центральный банк Армении - это не просто какая-то государственная служба. Это учреждение, которое:
- Управляет примерно 3,5 миллиарда долларов в иностранных резервах
- Регулирует и контролирует каждый банк, действующий в Армении
- Управляет денежной политикой, которая затрагивает 3 миллиона граждан
- Обрабатывает интербанковские расчеты для всей финансовой системы
- Выдает регламентные решения, которые двигают валютными рынками
Когда учреждение такого значения оставляет свои внутренние системы незащищенными, последствия выходят далеко за пределы одной организации. Любой несанкционированный доступ к инфраструктуре ЦБА может подорвать финансовый стабильность всей страны.
Найти 1: Jira Project Tracker -- Открытый миру
14 февраля 2026 года Wayback Machine сохранила снимок jira.cba.am -- внутреннего экземпляра Atlassian Jira Центрального банка. Jira - это система управления проектами и отслеживания задач, широко используемая программными командами для управления разработкой, отслеживания ошибок и координации проектов.
Что делает эту экспозицию критической, является конкретный флаг конфигурации, найденный на сохраненной странице:
com.atlassian.jira.leaked.all.anonymous.access: true
Проще говоря: анонимный доступ был включен. Это означает, что любой человек в Интернете -- без имени пользователя или пароля -- мог потенциально просматривать внутренние доски проектов, билеты задач и разговоры о разработке Центрального банка.
Сохраненный экземпляр работал на версии Jira 9.4.9. Эта версия, хотя и не самая старая, имеет известные советы по безопасности. Более важно, что она была публично доступна, представляет собой фундаментальную ошибку безопасности для регулятора финансового сектора.
Что могло быть раскрыто через Jira
Экземпляр Jira с включенным анонимным доступом в центральном банке мог раскрыть:
- Названия проектов и описания -- раскрывающие, какие системы банк создает или модифицирует
- Билеты задач с внутренними обсуждениями -- разговоры сотрудников о ошибках, функциях и архитектуре системы
- Имена сотрудников и адреса электронной почты -- от назначенных лиц и репортеров
- График развертывания -- когда системы обновляются (идеальное время для атак)
- Внутренние имена систем и архитектура -- дорожка для глубокого проникновения
- Отслеживаемые уязвимости безопасности -- если отчеты об ошибках включают проблемы безопасности, атакующие получают бесплатную разведку
Найдение 2: Внутренний утечек IP через Citrix NetScaler
Анализ веб-инфраструктуры CBA показал, что файл JavaScript Citrix NetScaler разглашает внутренний IP-адрес:
Внутренний IP: 192.168.93.214
Источник: клиентская JavaScript Citrix NetScaler
Для нетехнических читателей: адреса 192.168.x.x являются "частными" -- они используются только внутри внутренней сети организации и должны никогда не быть видимыми снаружи. Этот утечек сообщает злоумышленнику:
- Диапазон внутренней сети, который использует CBA (192.168.93.x)
- Что CBA использует Citrix NetScaler для удаленного доступа -- продукт с историей критических уязвимостей (CVE-2023-4966 "Citrix Bleed" является наиболее известным)
- Конкретный адрес внутреннего хоста, на который можно нацелиться, если злоумышленник получает доступ к сети
Это цифровой эквивалент того, что банк случайно распечатал комбинацию кода своей сейфовой комнаты наружу здания.
Найдено 3: Полный стэк Atlassian разглашен
Исследование показало, что CBA не только использует Jira. Он работает с полным стэком разработки Atlassian, каждый компонент которого обнаруживается публично:
| Система |
Назначение |
Уровень риска |
Что это может разглашать |
Jira 9.4.9
jira.cba.am |
Управление проектами и отслеживание задач |
КРИТИЧЕСКИЙ |
Внутренние проекты, имена сотрудников, планы разработки, возможно, отчеты о безопасности уязвимостей |
Bamboo CI/CD
bamboo.cba.am |
Автоматизация непрерывной интеграции и развертывания |
КРИТИЧЕСКИЙ |
Конфигурации сборок, учетные данные развертывания, пути к исходному коду, адреса серверов |
FishEye
fisheye.cba.am |
Просмотр и репозиторий исходного кода |
КРИТИЧЕСКИЙ |
Фактический исходный код банковских приложений, история коммитов, личности разработчиков |
| eazyBI |
Плагин бизнес-аналитики и отчетности для Jira |
ВЫСОКИЙ |
Агрегированные данные проектов, пользовательские отчеты, возможно, финансовые показатели |
McAfee Secure Web Mail
securewebmail.cba.am |
Шифрованный шлюз электронной почты |
ВЫСОКИЙ |
Подтверждает инфраструктуру шифрования электронной почты - полезно для целевого фишинга |
| Citrix NetScaler |
Удаленный доступ / шлюз VPN |
КРИТИЧЕСКИЙ |
Точка удаленного доступа - если скомпрометирована, предоставляет доступ к внутренней сети |
Вместе эти системы формируют полный цикл разработки программного обеспечения Центрального банка. Атакующий, имеющий доступ к этому стэку, будет иметь возможность видеть, что CBA строит, как это строится, фактический исходный код и как это развертывается в производственную среду.
Найдение 4: securewebmail.cba.am -- McAfee Secure Web Mail
Обнаружение securewebmail.cba.am с McAfee Secure Web Mail подтверждает, что CBA обрабатывает конфиденциальные сообщения, требующие шифрования. Хотя существование зашифрованной электронной почты является положительным, ее общедоступное обнаружение предоставляет атакующим конкретные цели для фишинговых кампаний. Атакующий мог бы создать электронные письма, имитирующие защищенную почтовую систему CBA, чтобы обмануть сотрудников и выманить у них учетные данные.
Более широкий контекст: киберкатастрофа Армении
Это событие с CBA не является отдельным случаем. Это часть системного сбоя в государственных учреждениях Армении, который OWL задокументировала в нашем расследовании Киберкатастрофа Армении:
| Учреждение |
Скомпрометированные учетные записи |
Слабые пароли |
Последний известный взлом |
| gov.am (Правительство) |
279 |
77% |
4 марта 2026 |
| mfa.am (Министерство иностранных дел) |
12 |
65% |
9 марта 2026 |
| parliament.am |
13 |
100% |
2024 год, май |
| cba.am (Центральный банк) |
13 |
69% |
6 января 2026 |
| sns.am (НСС - Национальная безопасность) |
10 |
100% |
1 ноября 2025 |
| police.am |
5 |
67% |
2023 год, сентябрь |
| armlex.am (Судебная) |
8 |
82% |
2024 год, июнь |
| ИТОГО |
351+ |
Катастрофический |
Активный |
Центральный банк, в частности, имеет 13 скомпрометированных учетных записей с 69% слабых паролей, а самая последняя кража учетных данных датирована 6 января 2026 года - всего несколько недель до того, как кэширование Jira было зарегистрировано. Это означает, что Центральный банк одновременно утекал учетными данными через вредоносное ПО И оставлял свою инфраструктуру разработки открытой для интернета.
Сценарий атаки: От разглашения до финансового катастрофы
Вот как опытный злоумышленник может связать эти результаты:
- Разведка: Анонимно просматривайте jira.cba.am, чтобы отслеживать внутренние проекты, определить персонал, изучить архитектуру системы
- Доступ к учетным данным: Используйте уже скомпрометированные учетные данные CBA (13 штук, доступные на черном рынке) для попытки входа в Jira, Bamboo, FishEye
- Вход в сеть: Целиться на шлюз Citrix NetScaler, используя известные CVE или украденные учетные данные, чтобы получить доступ к внутренней сети
- Горизонтальное перемещение: Используйте утекший внутренний IP (192.168.93.214) в качестве отправной точки для картирования и перемещения по внутренней сети
- Доступ к исходному коду: FishEye предоставляет прямой доступ к исходному коду банковских приложений - находите уязвимости в платежных системах
- Атака по цепочке поставок: Скомпрометированная линия Bamboo CI/CD может внедрить вредоносный код в производственные банковские системы
- Финансовое воздействие: Манипулируйте межбанковскими расчетами, опустошайте резервы или нарушайте всю армянскую финанссовую систему
Это не теоретический. Каждый компонент в этой цепочке был задокументирован как разглашенный.
Как проверить
Все результаты этой расследования основаны на публично доступных, пассивных источниках. Не выполнялось активное сканирование или несанкционированный доступ. Каждый может проверить:
- Wayback Machine: Поищите
jira.cba.am на web.archive.org. Снимок с 13 февраля 2026 года содержит экземпляр Jira с флагом анонимного доступа.
- Certificate Transparency Logs: Поищите crt.sh/?q=cba.am, чтобы увидеть все SSL-сертификаты, выданные для поддоменов CBA, подтверждающие существование jira.cba.am, bamboo.cba.am, fisheye.cba.am и securewebmail.cba.am.
- DNS Records: Стандартные DNS-поиски для вышеперечисленных поддоменов подтвердят их существование (или недавнее удаление).
Примечание к методологии
OWL проводит только пассивные исследования OSINT. Мы не выполняем активное сканирование, тестирование проникновения или несанкционированный доступ. Все данные в этой статье получены из кэшированных страниц Wayback Machine, журналов Certificate Transparency (crt.sh), публично доступных баз данных утечек и опубликованных отчетов CyberHUB-AM. Мы не имели доступа к системам CBA.
Рекомендации
Для Центрального банка Армении:
- Немедленно ограничить доступ к Jira, Bamboo и FishEye только внутренним доступом (VPN/брандмауэр). Они никогда не должны быть доступны из публичного интернета.
- Провести аудит всех конфигураций Citrix NetScaler и убедиться, что применены исправления для уязвимостей CVE-2023-4966 (Citrix Bleed) и связанных уязвимостей.
- Пересоздать все учетные данные для набора инструментов Atlassian — предположим, что они были скомпрометированы.
- Проанализировать журналы аудита Jira на предмет любого анонимного доступа, который происходил, когда система была доступна.
- Провести аудит безопасности всего процесса разработки перед любыми дальнейшими развертываниями.
- Обязать использовать сильные пароли и мультифакторную аутентификацию на всех системах. Уровень слабых паролей на 69% недопустим для регулятора финансового сектора.
Хронология
| Дата | Событие |
|---|
| 6 января 2026 года | Обнаружен самый последний кражей удостоверений CBA (шпионский программный код) |
| 13 февраля 2026 года | Wayback Machine кэширует jira.cba.am с включенным анонимным доступом |
| 11 апреля 2026 года | OWL опубликует эту инвестигацию |
Who Is Petrosyan Vahe Kamoyi? -- Help Complete This Investigation
OWL has identified the largest unidentified payment to the Movsesyan family: $480,000 from "Petrosyan Vahe." Court records show a Vahe Petrosyan Kamoyi with criminal cases in Ararat Province -- the same region as police chief Artavazd Sargsyan and the family's poultry factory.
If you know Petrosyan Vahe Kamoyi from Ararat Province -- his occupation, his businesses, his connections to the Movsesyan family, his connections to the Artashat police -- contact OWL. Any detail could complete this investigation.
We also seek information about: conflict-of-interest procedures at the Criminal Court of Appeals, who approved Mari Movsesyan's appointment in November 2023, and the identity of Karen Aroyan Oniki (Respondent #10).
owlorganization@proton.me (ProtonMail)
Use Tor Browser for maximum security. All sources are protected.
Get OWL Investigations in Your Inbox
Weekly digest of new investigations. No spam. Encrypted delivery via ProtonMail.
Subscribe
Support Independent Investigations
Our work is funded entirely by reader donations. No sponsors. No advertisers. Click any address to copy, or scan the QR.
📢 Join OWL on Telegram
Breaking investigations, delivered to your pocket. Trilingual (Armenian / English / Russian).
@owl_organization →