„Brexit 15.11.2018.docx” – e-maila z załącznikiem o tej nazwie dostali w połowie listopada urzędnicy m.in. MSZ i MON. Trafiły też do nich e-maile z innymi załącznikami: „Note 77 Pakistan.docx”, „XX19A18 NATO Logistics Introductory Course.docx” i „Rocket attacks on Israel.docx”.
Po ich otwarciu pojawiał się komunikat mówiący o tym, że dokument powstał we wcześniejszej wersji edytora tekstu, więc w celu jego przeczytania należy kliknąć w określonym miejscu. W rzeczywistości była to przynęta mająca pomóc w przejęciu komputera przez cyberszpiegów znanych jako APT28.
Taki kryptonim nadała tej grupie firma informatyczna FireEye. Szpiedzy są znani też jako Sofacy i Fancy Bear. Eksperci od cyberbezpieczeństwa powszechnie wiążą grupę z rosyjskim wywiadem wojskowym GRU. I przypisują jej wielkie sukcesy na przestrzeni ostatnich kilku lat, m.in. włamanie do niemieckiego parlamentu, francuskiej telewizji TV5 Monde, Światowej Agencji Antydopingowej, OBWE, a także udział w dyskredytowaniu amerykańskiej Partii Demokratycznej, co pomogło w zwycięstwie Donalda Trumpa w wyborach w 2016.
W Polsce ta elita cyberszpiegów odbiła się jednak od ściany. „Atak nie był skuteczny, został natychmiastowo wykryty oraz zablokowany zgodnie z obowiązującymi procedurami, dzięki czemu nie wpłynął na funkcjonowanie organizacji” – informuje biuro prasowe MSZ.
„Próby zostały przeprowadzone kilkukrotnie, a w celu zwiększenia ich skuteczności ukierunkowane były do niedużej liczby pracowników MSZ. Przeprowadzony atak ma pewne cechy wspólne z atakami przypisywanymi grupie APT28” – dodaje. MON nie odpowiedziało na nasze pytania w tej sprawie, ale o tym, że atak się najprawdopodobniej nie udał w żadnym z tych dwóch resortów, mówi Mariusz Burdach z firmy Prevenity osłaniającej polskie instytucje. – Nawet jeśli złośliwe oprogramowanie zostałoby uruchomione na komputerach biurowych, to nadal bez dostępu do sieci tajnej. W tych ministerstwach tego typu ataki (wykorzystujące stare podatności czy makra w edytorze tekstu) są szybko wykrywane i blokowane – podkreśla ekspert.
Może to zaskakiwać, bo ostatnio znów jest głośno o sukcesach APT28. W pierwszej połowie roku wyszło na jaw, że grupa weszła do tajnej sieci w Niemczech łączącej urząd kanclerski, siedziby ministerstw i służby specjalne. Na początku grudnia Czesi poinformowali z kolei, że Rosjanie stoją za udanymi atakami na tamtejszy MSZ, gdzie udało się im uzyskać dostęp do 150 skrzynek pocztowych.
Jednak w Polsce ataki APT28 na kluczowe ministerstwa udaje się odpierać regularnie. Miało to miejsce na przykład w grudniu 2016 roku, gdy APT28 przypuściło wyrafinowany atak na MSZ, wykorzystując serwer resortu dyplomacji jednego z krajów Ameryki Łacińskiej.
Cyberszpiegom z GRU nie udały się też ataki na instytucje publiczne w Polsce m.in. przed szczytem NATO w 2016 roku i jesienią 2017 roku. Dzieje się to, choć od wielu lat mówi się o problemach z polskim cyberbezpieczeństwem. O dużych zaniechaniach informował na przykład raport NIK z 2015 roku. Dopiero od niedawna widać zainteresowanie rządzących tą dziedziną. M.in. w lipcu Sejm uchwalił ustawę o Krajowym Systemie Cyberbezpieczeństwa.
Skąd biorą się polskie sukcesy? Prezes fundacji Bezpieczna Cyberprzestrzeń Mirosław Maj mówi, że możemy nie wiedzieć o wszystkich atakach APT28. – Przeprowadzającemu takie operacje nie zależy na pochwaleniu się sukcesem – zauważa. – Poza tym trzeba pamiętać, że przełamanie zabezpieczenia polegające na tym, że ktoś otworzy zainfekowany załącznik, nie kończy całej operacji. Dopiero wtedy zaczyna się ciężka praca atakujących, by dostać się do komputera, na którym im zależy – dodaje.
