FLASH NEWS
BIRN: New attack, old mistakes! Why does Albania remain vulnerable to Iranian hackers?
2026-03-13 09:03:48 / AKTUALITET
After being silent for months, four Telegram channels serving the so-called "Homeland Justice" group went live on Tuesday morning.
In a well-known scheme that begins with a message about warnings and that we are "approaching zero hour," hackers claimed to have attacked and taken control of the servers of the Albanian Parliament and possessed the correspondence of the deputies.
The first message containing a photo with a list of emails and an email entry from the parlament.al domain was published at 11:44 on Tuesday.
"All conversations and correspondence of corrupt members of Parliament over the past few months are in the hands of Homeland Justice. We are much closer to you than you think," the message said.
At 14:11, hackers published a folder with 815 megabytes of material from emails exchanged at the official addresses of MPs Belinda Balluku, Gazmend Bardhi, Damian Gjiknuri and Edi Paloka.
A video released that same day showed that the group had access to the virtual servers of the Albanian Parliament, while evidence showed the deletion of materials from these servers.
In an official response on Tuesday, the Albanian Parliament described the incident as a "sophisticated attack" and claimed that "the main work infrastructure was not affected."
But independent information security experts paint a very different picture and raise questions about repeated institutional negligence.
IT expert Erion Demiri told BIRN that hackers accessed critical infrastructure and were inside the system for a long time, while alarms did not work.
After analyzing the published data, Besmir Semanaj also points out that the passwords in the system have not been renewed for years, proving negligence and a lack of protective measures.
The attack on the Parliament's digital infrastructure is the third successful attack by the so-called Homeland Justice group, after the one that targeted "e-Albania" in 2022 and the attack on the digital infrastructure of the Municipality of Tirana in June last year.
Access to in-depth infrastructure
The hacking group began publishing the data on March 10, 2026, in four active channels on the Telegram application, which are followed by about 22 thousand users. The publications are still ongoing and include massive archives of emails of the Assembly staff (of the domain @parlament.al), as well as videos showing deep access to systems and deletion of data from servers.
Pamjet e publikuara nga “Homeland Justice” tregojnë lëvizje të lira brenda rrjetit të Kuvendit. Eksperti i IT-së, Erion Demiri, thekson se videot tregojnë aksesimin e hard drive-ve të serverëve të ndryshëm dhe fshirjen e makinave virtuale nga një infrastrukturë VDI (Virtual Desktop Infrastructure).
“Veprimet e kryera janë destruktive dhe sjellin ndërprerjen e punës dhe humbjen e madhe të të dhënave në makinat e afektuara,” shpjegon Demiri. Sipas tij, ndonëse fshirja e të dhënave mban datën 10 mars 2026, aksesi i paautorizuar në sisteme “mund të jetë kryer shumë kohë më parë”, duke i dhënë kohë sulmuesve të kopjojnë dhe monitorojnë rrjetin përpara se të kryenin veprimin shkatërrues.
Fakti që sulmi u bë publik nga vetë hakerat dhe jo nga sistemet e monitorimit të institucionit, tregon një mungesë shqetësuese të sistemeve të detektimit të ndërhyrjeve të huaja në rrjet.
“E sigurt nga mënyra e sjelljes është që nuk ka qenë stafi i institucionit që ka dalluar aksesin e autorizuar, por vetë forca keqbërëse që ka publikuar sulmin,” tha Demiri.
Shqetësimi kryesor që ngrihet nga ekspertët nuk është vetë sulmi, por lehtësia me të cilën ai është kryer, çka sugjeron mosmarrjen e asnjë mase pas historikut të gjatë të sulmeve kibernetike në Shqipëri.
Besmir Semanaj, ekspert i sigurisë kibernetike, vëren se komprometimi nuk ka qenë thjesht një rrjedhje dokumentesh, por një “akses real në infrastrukturën IT të Kuvendit”, me hakerat që kanë pasur privilegje administrative (akses në VMëare vCenter).
Më alarmante, sipas Semanajt, është fakti që listat e përdoruesve dhe mailbox-eve të publikuara sugjerojnë se llogaritë kanë mbetur aktive dhe pa ndryshuar fjalëkalimet edhe pas sulmeve të mëparshme.
“Kjo tregon mungesë të masave minimale të reagimit si passëord reset masiv (rinovim i fjalëkalimeve), revokim sesionesh dhe auditim aksesesh,” thekson Semanaj. Ai paralajmëron se publikimi i strukturës së brendshme të serverëve rrit rrezikun për sulme të mëtejshme dhe dëshmon se “institucionet nuk kanë zbatuar as masat bazë të sigurisë pas incidenteve të mëparshme.”
Të njëjtin shqetësim ka edhe Orkidea Xhaferraj, eksperte në Qendrën për Shkencë dhe Inovacion për Zhvillim, SCiDEV, e cila thotë se sulmet e përsëritura të suksesshme ndaj institucioneve kyçe shqiptare “ngrenë një pikëpyetje të madhe” për masat e marra për të garantuar sigurinë e infrastrukturës digjitale, pavarësisht shpenzimeve të kryera.
“Cenueshmëria e lartë e institucioneve, Kuvendit në këtë rast, nuk është më thjesht një çështje teknike, është një çështje sistemike. Në mënyrë të përsëritur, pas çdo sulmi dëgjojmë se po punohet për adresimin, po hetohet, po bashkëpunohet me entitete të treta, por çfarë po ndryshon thelbësisht?!”, pyet në mënyrë retorike Xhaferraj.
Ekspertët ngrenë dyshime për lehtësinë me të cilën ndodhin këto sulme dhe aludojnë, në mungesë të një transparence të plotë, se ato mund të jenë edhe organizime të brendshme për tërheqje vëmendje nga problemet e tjera në vend.
"Every time there is internal conflict, we have revenge," says Semanaj, who calls for more transparency about how money for cybersecurity has been used.
The parliament downplayed the damage from the attack. In a media release on Tuesday, the parliament claimed that the unauthorized access was noticed on Monday evening at around 9:00 p.m.
The institution stated that “from the initial analysis it results that the main work infrastructure has not been affected” and that the official website continues to function. The Assembly announced the establishment of a joint technical and investigative team with the National Authority for Cyber Security (AKSK), the State Police, the Cyber Command and international partners.
However, according to experts, the official claim that “core infrastructure was not affected” is contradicted by visual evidence of access to the central virtual server management platform (vCenter), which represents the core of a modern institution’s digital infrastructure. Also, the designation of the attack as “sophisticated” is questioned by the fact that the hackers appear to have used old, unchanged credentials to access the system.
Currently, the institution is facing the challenge of rebuilding the infrastructure from scratch. As expert Demiri warns, this process must be done with extreme caution through backups, as "along with the backup, the vulnerability usually returns," leaving the door open again for similar attacks in the future.
Meanwhile, the seriousness with which Albania treats digital infrastructure was questioned at the end of last year after investigations by the Special Prosecution Office raised allegations of the involvement of criminal groups in the determination of tenders for the National Agency for the Information Society, AKSHI./reporter.al/
Happening now...
ideas
top
TRENDING 
services
- POLICE129
- STREET POLICE126
- AMBULANCE112
- FIREFIGHTER128