Ogłoszenie dotyczące sprzedaży SUV-a czy informacja o firmie sprzedającej używaną bieliznę – to jedne z metod, które rosyjscy cyberszpiedzy wykorzystywali do ataków na polską administrację, jak wynika z raportu ABW.
Wiktor Ferfecki
„Środkowy korytarz: filar geostrategiczny stosunków gospodarczych UE–Azja Środkowa” – e-mail z zaproszeniem na konferencję o tej nazwie dotarł w styczniu ubiegłego roku do polskich urzędników. Z treści wynikało, że organizatorami spotkania są m.in. polskie MSZ, Ośrodek Studiów Wschodnich oraz grupa PKP, a wydarzenie miało się odbyć pod koniec stycznia w Brukseli. W rzeczywistości zaproszenie zawierało złośliwy plik, który infekował komputer oprogramowaniem typu stealer, a za jego rozsyłaniem stali cyberprzestępcy z grupy APT28, związanej z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU).
Takie wnioski przedstawia opublikowany niedawno Raport o stanie bezpieczeństwa cyberprzestrzeni w 2024 roku. Opracował go Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV, działający w strukturze ABW, który jest jednym z trzech krajowych zespołów CSIRT. Z raportu wynika, że w ubiegłym roku polska administracja była narażona na ataki grup powiązanych z rosyjskim wywiadem.
Grupa APT28, uznawana za elitarne grono rosyjskich cyberszpiegów, atakowała Polskę niezwykle często
Mowa o tzw. grupie APT, której nazwa pochodzi od angielskich słów advanced persistent threat (zaawansowane trwałe zagrożenie). Zazwyczaj uznaje się, że są to wyspecjalizowane zespoły sponsorowane przez państwa, chociaż nie przyznają się one do pracy dla wywiadu. „W roku 2024 zarejestrowano szeroki wachlarz aktywności APT, gdzie dominującym aktorem w CRP była grupa APT określana jako APT28” – obywamy w raporcie.
W roku 2024 głównym klastrem aktywności w cyberprzestrzeni RP były zagrożenia związane z działaniami grupy APT28, znanej również jako Fancy Bear. Wybór celów przez tę grupę był motywowany potrzebami cyberszpiegowskimi, a przeprowadzone ataki były głównie skierowane na administrację rządową oraz sektor energetyczny i transportowy w Polsce.
Ta ostatnia stanowi rosyjską grupę o niemal legendarnych zdolnościach. W przeszłości była oskarżana m.in. przez wywiad USA o ingerencję w wybory prezydenckie w 2016 roku, a we Francji o cyberatak na kanał TV5 Monde, skutkujący kilka godzin przerwy w emisji. Rok później w tym samym kraju grupa APT28 miała wykraść i ujawnić dokumenty szkodzące wizerunkowi kandydata na prezydenta Emmanuela Macrona.
Jak działała w Polsce? Raport CSIRT GOV przedstawia kilka przykładów, w których cyberprzestępcy rozsyłali spreparowane wiadomości, zachęcające odbiorcę do kliknięcia na zainfekowany załącznik. W jednym z przypadków był to plik z ogłoszeniem o sprzedaży rzekomo pochodzącego z zasobów dyplomatycznych samochodu audi Q7 quattro w atrakcyjnej cenie 5,5 tys. euro. W innym przypadku szpiedzy z APT28 zamieścili informację o firmie sprzedającej… używaną bieliznę. „Ma również klientów z władz wyższego szczebla w Polsce i na Ukrainie. Wszystkie informacje na ten temat dostępne są pod tym linkiem” – brzmiała intrygująca wiadomość zawierająca złośliwe oprogramowanie.
Do kogo dokładnie dotarły zainfekowane wiadomości oraz czy kampanie wymierzone w polski rząd okazały się skuteczne? Tego ABW już nie wyjaśnia.
Polskę miały również atakować wyspecjalizowani szpiedzy z Białorusi i Chin
APT28 nie była jednak jedyną profesjonalną grupą cyberprzestępców, która w 2024 roku celowała w polską administrację. Raport ABW wymienia także ataki APT29, UNC1151, Volt Typhoon oraz APT15. Pierwsza z nich powiązana jest z Rosją, druga z Białorusią, a dwie ostatnie z Chinami.
Na tym jednak nie kończą się zagrożenia dla polskiej cyberprzestr
Źródło
