Czego szukali w Polsce cyberszpiedzy Putina?

Elita hakerów Władimira Putina zaatakowała polskie instytucje – wynika z raportu ABW. Nie wiadomo, na ile skutecznie.

Aktualizacja: 09.11.2023 06:23 Publikacja: 09.11.2023 03:00

W jaki sposób cyberszpiedzy Putina działali w Polsce?

W jaki sposób cyberszpiedzy Putina działali w Polsce?

Foto: AdobeStock

Na przełomie 2015 i 2016 roku dwie grupy cyberszpiegów włamały się do serwerów Partii Demokratycznej w USA i sztabu kandydatki tego ugrupowania Hillary Clinton, powodując m.in. głośny wyciek maili. Dopiero w maju 2016 roku intruzi zostali usunięci z systemów. Jak później ustalono, za tym słynnym na cały świat atakiem stały grupy, znane jako APT28 i APT29. Prawdopodobnie związane są z rosyjskimi Głównym Zarządem Wywiadowczym GRU i Federalną Służbą Bezpieczeństwa FSB. Mają na koncie też inne głośne włamania, a w ubiegłym roku ta elita rosyjskich cyberszpiegów wzięła na cel Polskę.

Raport zespołu podległego ABW wskazuje, że w sieci nie jest bezpiecznie

Tak wynika z „Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2022 roku” autorstwa CSIRT GOV, zespołu podległego ABW, który dba o bezpieczeństwo informatyczne najważniejszych instytucji. W opracowaniu rysuje się nieciekawy obraz. Wynika z niego, że od rozpoczęcia rosyjskiej agresji na Ukrainę znacznie wzrosła liczba podmian stron internetowych, ataków DDoS, czyli z wielu komputerów jednocześnie, a także kampanii phishingowych, których celem jest wyłudzenie danych. Szczególnie groźnie zaś brzmią doniesienia o atakach grup, zwanych APT.

Czytaj więcej

Rosyjski atak na Pocztę i Modlin. Za Ukrainę

Czym są? Ich nazwa pochodzi od angielskich słów advanced persistent threat (zaawansowane trwałe zagrożenie) i najczęściej przyjmuje się, że są to profesjonalne grupy, sponsorowane przez rządy państw. – Istnieje oczywiście problem atrybucji, czyli ich formalnego umiejscowienia, bo nikt otwarcie nie powie, że pracuje dla GRU czy FSB. Natomiast jest wiele przesłanek i pośrednich dowodów na to, że są one umocowane w strukturach rządów, w tym w służbach specjalnych – mówi Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń.

Raport CSIRT GOV wylicza działania w Polsce pięciu takich grup w 2022 roku. Oprócz APT28 i APT29 miały być to Turla, UAC-0056 i Mustang Panda. Ta ostatnia jest grupą chińską, znaną z ataków na amerykańskie think tanki i organizacje pozarządowe. UAC-0056 i Turla kojarzone są najczęściej z Rosją. Tę ostatnią grupę mają tworzyć agenci Federalnej Służy Bezpieczeństwa z Riazania. W maju resort sprawiedliwości USA pochwalił się sukcesem w walce z Turlą. Ogłosił, że FBI udało się zidentyfikować i unieszkodliwić złośliwe oprogramowanie Turli, wykradające informacje z systemów komputerowych w kilkunastu krajach.

W jaki sposób cyberszpiedzy Putina działali w Polsce? Dość szeroko zostało to omówione w raporcie. Np. grupa APT29 przeprowadziła swoją kampanię w maju 2022 roku, podszywając się pod ambasadę Portugalii. Dystrybuowała plik „Agenda.pdf”, w którym zawarty był odnośnik, rzekomo do kalendarza ambasadora, natomiast sama wiadomość nakłaniała ofiarę do umówienia spotkania. Kliknięcie uruchomiało szereg zdarzeń, mających uzyskać dostęp do komputera. Kolejną kampanię APT29 przeprowadziła w październiku, podszywając się pod ambasadę Serbii. Z kolei w kampanii Turli złośliwe oprogramowanie nazywało się „Soviet monuments in Poland.xll” i zawierało listę pomników sowieckich w naszym kraju.

Jakie skutki miały rosyjskie ataki? Nie wiadomo

W raporcie CIRT GOV jest wiele szczegółów technicznych ataków. Nie ma jednak mowy o tym, kto konkretnie był celem i czy wykradziono jakieś dane. Na nasze pytania w tej sprawie nie odpowiedziało ABW, tłumacząc, że „do udostępniania informacji o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów nie stosuje się ustawy z dnia 6 września 2001 roku o dostępie do informacji publicznej”.

Czytaj więcej

Masowy cyberatak. Rosjanie zhakowali setki tysięcy adresów mailowych departamentów USA

Mirosław Maj mówi, że APT atakują głównie najważniejsze instytucje państwowe i odpowiedzialne za infrastrukturę krytyczną. – Zdarzają się też ataki na inne instytucje, ale głównie takie, które mogą stanowić potencjalnie atrakcyjny punkt przesiadkowy, by dostać się do podmiotów, najbardziej interesujących włamywaczy – tłumaczy.

Dodaje, że skoro ataki zostały opisane w raporcie, można założyć, że zostały odparte. – Nie oznacza to, że grupy APT nie przeprowadziły ataków, o których nie wiemy – mówi.

Zdaniem eksperta pojawienie się w raporcie nazw znanych grup APT nie jest niczym zaskakującym, bo jesteśmy na ich stałym celowniku. – Jeszcze dekadę temu takie ataki traktowaliśmy w Polsce jako sensację. Od wybuchu wojny w Ukrainie działanie takich grup się nasiliło i nie ma przesłanek, by sądzić, że się to szybko zmieni – mówi Maj.

Na przełomie 2015 i 2016 roku dwie grupy cyberszpiegów włamały się do serwerów Partii Demokratycznej w USA i sztabu kandydatki tego ugrupowania Hillary Clinton, powodując m.in. głośny wyciek maili. Dopiero w maju 2016 roku intruzi zostali usunięci z systemów. Jak później ustalono, za tym słynnym na cały świat atakiem stały grupy, znane jako APT28 i APT29. Prawdopodobnie związane są z rosyjskimi Głównym Zarządem Wywiadowczym GRU i Federalną Służbą Bezpieczeństwa FSB. Mają na koncie też inne głośne włamania, a w ubiegłym roku ta elita rosyjskich cyberszpiegów wzięła na cel Polskę.

Pozostało 87% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Przestępczość
Dwóch Ukraińców skazanych za szpiegostwo dla Rosji nadal ukrywa się przed odsiadką
Przestępczość
Atak siekierą w biurowcu w Krakowie. Pokrzywdzony w ciężkim stanie, napastnik w rękach policji
Przestępczość
„Kokaina dla ubogich” zalewa rynek. Policja likwiduje coraz więcej laboratoriów
Przestępczość
Były senator PiS zatrzymany. Był poszukiwany listem gończym
Materiał Promocyjny
Mazda CX-5 – wszystko, co dobre, ma swój koniec
Przestępczość
Interwencja policji na Dolnym Śląsku. Funkcjonariusz postrzelony w głowę
Materiał Promocyjny
Branża bankowa gorszy okres ma za sobą