Elita hakerów Władimira Putina zaatakowała polskie instytucje – wynika z raportu ABW. Nie wiadomo, na ile skutecznie.
W jaki sposób cyberszpiedzy Putina działali w Polsce?
Na przełomie 2015 i 2016 roku dwie grupy cyberszpiegów włamały się do serwerów Partii Demokratycznej w USA i sztabu kandydatki tego ugrupowania Hillary Clinton, powodując m.in. głośny wyciek maili. Dopiero w maju 2016 roku intruzi zostali usunięci z systemów. Jak później ustalono, za tym słynnym na cały świat atakiem stały grupy, znane jako APT28 i APT29. Prawdopodobnie związane są z rosyjskimi Głównym Zarządem Wywiadowczym GRU i Federalną Służbą Bezpieczeństwa FSB. Mają na koncie też inne głośne włamania, a w ubiegłym roku ta elita rosyjskich cyberszpiegów wzięła na cel Polskę.
Czym są? Ich nazwa pochodzi od angielskich słów advanced persistent threat (zaawansowane trwałe zagrożenie) i najczęściej przyjmuje się, że są to profesjonalne grupy, sponsorowane przez rządy państw. – Istnieje oczywiście problem atrybucji, czyli ich formalnego umiejscowienia, bo nikt otwarcie nie powie, że pracuje dla GRU czy FSB. Natomiast jest wiele przesłanek i pośrednich dowodów na to, że są one umocowane w strukturach rządów, w tym w służbach specjalnych – mówi Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń.
Raport CSIRT GOV wylicza działania w Polsce pięciu takich grup w 2022 roku. Oprócz APT28 i APT29 miały być to Turla, UAC-0056 i Mustang Panda. Ta ostatnia jest grupą chińską, znaną z ataków na amerykańskie think tanki i organizacje pozarządowe. UAC-0056 i Turla kojarzone są najczęściej z Rosją. Tę ostatnią grupę mają tworzyć agenci Federalnej Służy Bezpieczeństwa z Riazania. W maju resort sprawiedliwości USA pochwalił się sukcesem w walce z Turlą. Ogłosił, że FBI udało się zidentyfikować i unieszkodliwić złośliwe oprogramowanie Turli, wykradające informacje z systemów komputerowych w kilkunastu krajach.
W jaki sposób cyberszpiedzy Putina działali w Polsce? Dość szeroko zostało to omówione w raporcie. Np. grupa APT29 przeprowadziła swoją kampanię w maju 2022 roku, podszywając się pod ambasadę Portugalii. Dystrybuowała plik „Agenda.pdf”, w którym zawarty był odnośnik, rzekomo do kalendarza ambasadora, natomiast sama wiadomość nakłaniała ofiarę do umówienia spotkania. Kliknięcie uruchomiało szereg zdarzeń, mających uzyskać dostęp do komputera. Kolejną kampanię APT29 przeprowadziła w październiku, podszywając się pod ambasadę Serbii. Z kolei w kampanii Turli złośliwe oprogramowanie nazywało się „Soviet monuments in Poland.xll” i zawierało listę pomników sowieckich w naszym kraju.
Jakie skutki miały rosyjskie ataki? Nie wiadomo
W raporcie CIRT GOV jest wiele szczegółów technicznych ataków. Nie ma jednak mowy o tym, kto konkretnie był celem i czy wykradziono jakieś dane. Na nasze pytania w tej sprawie nie odpowiedziało ABW, tłumacząc, że „do udostępniania informacji o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów nie stosuje się ustawy z dnia 6 września 2001 roku o dostępie do informacji publicznej”.
Mirosław Maj mówi, że APT atakują głównie najważniejsze instytucje państwowe i odpowiedzialne za infrastrukturę krytyczną. – Zdarzają się też ataki na inne instytucje, ale głównie takie, które mogą stanowić potencjalnie atrakcyjny punkt przesiadkowy, by dostać się do podmiotów, najbardziej interesujących włamywaczy – tłumaczy.
Dodaje, że skoro ataki zostały opisane w raporcie, można założyć, że zostały odparte. – Nie oznacza to, że grupy APT nie przeprowadziły ataków, o których nie wiemy – mówi.
Zdaniem eksperta pojawienie się w raporcie nazw znanych grup APT nie jest niczym zaskakującym, bo jesteśmy na ich stałym celowniku. – Jeszcze dekadę temu takie ataki traktowaliśmy w Polsce jako sensację. Od wybuchu wojny w Ukrainie działanie takich grup się nasiliło i nie ma przesłanek, by sądzić, że się to szybko zmieni – mówi Maj.