„Korea Północna twierdzi, że terrorystyczne Stany Zjednoczone zmusiły Pjongjang do stworzenia broni nuklearnej" – to tytuł artykułu, który w połowie października opublikował brytyjski portal Express.co.uk. Posłużył on cyberszpiegom z rosyjskiej grupy APT28 do jednego z dwóch ataków na polski rząd.
Pierwszy przeprowadzono 18 października. Do urzędników trafiły maile z plikiem „World War III-ND.docx", zawierającym wspomniany artykuł. Jego uruchomienie powodowało instalację złośliwego oprogramowania, wykorzystującego błąd w programie flash.
Drugi atak nastąpił 1 listopada. Tym razem plik-przynęta to „SaberGuardian2017.docx", nawiązująca do niedawnych ćwiczeń NATO. Po kliknięciu pojawiała się informacja o problemach z otwarciem pliku, a wciśnięcie „OK" otwierało drogę do instalacji wirusa.
– Pierwszy z ataków był adresowany do szerszego kręgu adresatów, drugi skierowano do jedynie kilku odbiorców – mówi Mariusz Burdach z firmy Prevenity, ochraniającej polskie instytucje publiczne. Jego zdaniem nie ma wątpliwości, że stali za nimi Rosjanie z APT28. – Scenariusz ataków przewidywał, że w pewnym momencie pobierany jest plik służący do wyciągania informacji z zainfekowanego komputera. Jest bardzo specyficzny i łatwo rozpoznać, kto go stworzył – mówi.
Firma Prevenity o atakach poinformowała na swoim blogu. Twierdzi, że celem było MSZ, a ataki odparto. Z naszych informacji wynika jednak, że 18 października Rosjanie chcieli zainfekować też kilka innych ministerstw, gdzie również w porę zareagowano.
Mowa m.in. o MSWiA i MON. To pierwsze oficjalnie zaprzecza, a drugie nie odpowiedziało na pytania „Rzeczpospolitej". – W resorcie panuje polityka, że o takich sprawach nie mówi się głośno – mówi nieoficjalnie jeden z wysokich rangą urzędników MON. Jeśli rzeczywiście atak udało się odeprzeć, można mówić o sukcesie. APT28, znana też pod pseudonimami Sofacy i Fancy Bear, to jedna z najbardziej znanych grup cyberszpiegowskich, niewykluczone, że jest oddziałem rosyjskiego Głównego Zarządu Wywiadowczego Sztabu Generalnego (GRU).
Na koncie ma m.in. włamania do niemieckiego parlamentu, francuskiej telewizji TV5 Monde i Światowej Agencji Antydopingowej.
W Polsce APT28 nie ma szczęścia. Co najmniej dwukrotnie, w czerwcu i grudniu 2016 roku, ataki tej grupy odparło MSZ.
Jeszcze przed październikowym atakiem APT28 szef MON Antoni Macierewicz mówił w TVP 1, że jego resort poradził sobie z trzema innymi cyberzagrożeniami ze strony Rosji. Kto konkretnie był ich autorem? Macierewicz nie podał nazwy. Z naszych informacji wynika, że polskie ministerstwa bierze też na cel APT29, identyfikowana często z Federalną Służbą Bezpieczeństwa.
Zdaniem Mirosława Maja z Fundacji Bezpieczna Cyberprzestrzeń jest tu zbyt dużo niewiadomych. – Niektóre grupy cyberszpiegowskie rzeczywiście nie poprawiają technik działania, stając się z czasem mniej groźne. Jednak nie można też wykluczyć, że z technik charakterystycznych dla danej grupy zaczyna korzystać inny zespół, by tej pierwszej przypisać dany atak.
O tym, że zagrożenie z Rosji jest poważne, mówią dane firmy F-Secure. Wynika z nich, że w ciągu ostatnich sześciu miesięcy ten kraj podjął ponad 2,5 mln prób cyfrowych ataków na Polskę. Były ukierunkowane nie tylko na instytucje państwowe, ale też firmy i zwykłych użytkowników.
Również zdaniem Jarosława Bartniczuka, prezesa spółki CyberBlock, na przestrzeni ostatniego roku widać wzmożoną aktywność rosyjskich hakerów na terenie Polski. – Opinia publiczna otrzymuje informacje tylko o tych najbardziej medialnych przypadkach – zaznacza.
—współpraca Michał Duszczyk
masz pytanie, wyślij e-mail do autora: w.ferfecki@rp.pl
