Próba włamania do MSZ miała miejsce w grudniu. Jak ustaliła „Rzeczpospolita", do kilku pracowników resortu trafił e-mail dotyczący rzekomego oświadczenia sekretarza generalnego sojuszu północnoatlantyckiego po spotkaniu Rady NATO–Rosja. Otwarcie załącznika skutkowałoby instalacją tzw. konia trojańskiego i kradzieżą danych.

– Atak był wyjątkowo wyrafinowany – mówi Mariusz Burdach z firmy Prevenity ochraniającej polskie instytucje publiczne. Wyjaśnia, że cyberszpiedzy wykorzystali niedawno odkryty błąd w programie Adobe Flash Player. – Poprawili też jakość wykorzystywanego przez siebie wcześniej konia trojańskiego. Zajmował mniej miejsca i łatwiej się instalował – dodaje.

O tym, że atak był trudny do wykrycia, informuje też sam resort dyplomacji. – Sprawę komplikował fakt, że został on przeprowadzony z użyciem serwera Ministerstwa Spraw Zagranicznych jednego z krajów Ameryki Łacińskiej – wyjaśnia nam biuro prasowe resortu. Dodaje, że szpiedzy wcześniej uzyskali dostęp do wspominanego serwera, by wykorzystać go do uwiarygodnienia się przed polskimi urzędnikami.

Zarówno Prevenity, jak i MSZ nie mają wątpliwości, że za atakiem stał zespół APT28, znany też pod pseudonimami Sofacy i Fancy Bear. To obecnie najsłynniejsza grupa cyberszpiegowska świata.

GRU w akcji

Ma na swoim koncie m.in. włamania do niemieckiego parlamentu i francuskiej telewizji TV5 Monde. W ubiegłym roku cyberszpiedzy zaatakowali Światową Agencję Antydopingową i OBWE, a ostatnio instytucje rządowe w Norwegii. APT28 najbardziej znana jest jednak z działalności w Stanach Zjednoczonych. To ona przejęła e-maile od polityków Partii Demokratycznej, które zostały ujawnione w końcówce kampanii, co przyczyniło się do zwycięstwa Donalda Trumpa.

W efekcie z USA wydalono 35 rosyjskich dyplomatów. Powód? Wielu specjalistów od bezpieczeństwa, m.in. z firmy ThreatConnect, sądzi, że APT28 jest w rzeczywistości oddziałem rosyjskiego Głównego Zarządu Wywiadowczego Sztabu Generalnego (GRU). Podobny wniosek płynął z raportu FBI, który oskarżał Rosję o ingerencję w wybory w USA.

Choć APT28 to elita cyberszpiegów, grudniowy atak na MSZ udało się odeprzeć, a to nie pierwszy raz, gdy resort dyplomacji poradził sobie z rosyjskim wywiadem.

– Ataki APT28 czy też APT29 (innej grupy identyfikowanej często z rosyjską Federalną Służbą Bezpieczeństwa – red.) są na przestrzeni ostatnich lat systematycznie odnotowywane i wykrywane przez pracowników zajmujących się bezpieczeństwem cyberprzestrzeni MSZ – informuje resort.

Jeden z nich, przeprowadzony tuż przed szczytem NATO w Warszawie, opisywaliśmy w ubiegłym roku w „Rzeczpospolitej".

Polska zagrożona

MSZ twierdzi, że „przez wzgląd na swoją specyfikę jest szczególnie narażone na cyberataki" i dlatego powołało specjalny Wydział Reagowania na Incydenty Komputerowe. Jednak zdaniem specjalistów polski rząd jest słabo przygotowany na podobne incydenty. – W większości instytucji atak APT28 mógłby się powieść – uważa Mariusz Burdach.

O tym, że cyberbezpieczeństwo nie jest właściwie chronione, mówił raport NIK z 2015 roku. Wynikało z niego, że „aktywność państwa paraliżował przede wszystkim brak jednego ośrodka decyzyjnego, koordynującego działania innych instytucji publicznych, oraz bierne oczekiwanie na rozwiązania, które ma zaproponować Unia Europejska".

Skutkiem bierności były udane akcje cyberszpiegów. Tuż po zmianie ekipy rządowej były doradca ministra obrony Krzysztof Bondaryk ujawnił, że hakerzy ukradli w MON kilkaset tysięcy e-maili. Zidentyfikowano ich działalność w latach 2009–2013, jednak mogła rozpocząć się wcześniej, a poszlaki wskazują na Rosję.

Dlatego porządek z cyberbezpieczeństwem postanowił zrobić PiS. W lipcu ubiegłego roku ruszyło Narodowe Centrum Cyberbezpieczeństwa (NCC). Ministerstwo Cyfryzacji rozpoczęło też prace nad Strategią Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Ekspert z Instytutu Kościuszki dr Joanna Świątkowska zauważa jednak, że „większość strategicznych zapowiedzi rządu nie została jeszcze zrealizowana".

– Mamy poślizg dotyczący zarówno prac nad Strategią Cyberbezpieczeństwa RP, jak i nad zapowiadaną ustawą o krajowym systemie cyberbezpieczeństwa. To bardzo niepokojące informacje, bo bez strategicznych dokumentów nie będzie strategicznych działań i decyzji – mówi.

Jej zdaniem uruchomienie NCC, które integruje sektor prywatny z publicznym, było cenną inicjatywą, jednak „dopiero się ona rozwija". – Niestety, nie możemy wciąż czuć się bezpieczni. Często jest tak, że tylko cześć ataków zostaje wykryta i odparta, tak jak ten z grudnia na MSZ, a wiele z nich nie zostanie nigdy zidentyfikowanych – podsumowuje.