Ataki na MON. Rosja nie rezygnuje z Polski

Cyberprzestrzeń jest obecnie jednym z kluczowych obszarów dla funkcjonowania państwa i jego sił zbrojnych. Nie ma nowoczesnej, skutecznej armii bez cyfrowych rozwiązań. Technologia stanowi fundament wojska i wróg jest tego świadomy. 

Adwersarz zdaje sobie sprawę, że im dalej digitalizacja sięga, tym rośnie liczba wektorów do potencjalnego ataku. W czasie napiętej sytuacji międzynarodowej jest to szczególnie widoczne. Wystarczy spojrzeć za naszą wschodnią granicę, aby dojść do wniosku, że cyberprzestrzeń w praktyce stała się pełnoprawną domeną konfliktów i wojen. Polska też to odczuwa. 

Ataki na MON

W ubiegłym roku CSIRT Ministerstwa Obrony Narodowej, działający w ramach Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC), zarejestrował łącznie 5841 incydentów. 

Należy jednak podkreślić, że nie odnotowano żadnego incydentu o charakterze krytycznym. Co więcej, w sprawozdaniu nie ma mowy o zgłoszeniach od operatorów usług kluczowych dotyczących ewentualnego wystąpienia incydentu poważnego. Ale to nie oznacza, że ryzyko nie istnieje.

Wojna na Ukrainie. Polska pomoc

Jak bardzo Polska jest atrakcyjnym celem dla wrogich podmiotów, takich jak np. Rosja? Otóż, bardzo. Wynika to chociażby z tego, że obecnie nasz kraj dysponuje bardzo cennymi danymi, zwłaszcza dla obcych służb wywiadu. Mowa tu o informacjach na temat m.in. uzbrojenia, jakie trafia na Ukrainę. 

Pamiętajmy, że Polska nie tylko sama aktywnie pomaga Kijowowi, ale również jest hubem w jej niesieniu. To tędy prowadzone są transporty ze wsparciem (sprzęt wojskowy, amunicja, uzbrojenie itp.), a co się z tym wiąże, duża ilość danych jest gromadzona w zasobach RP.

Próby zhakowania MON-u

Gen. dyw. Karol Molenda, Dowódca DKWOC, w rozmowie z naszym portalem wskazał, że od inwazji Rosji na Ukrainę w Polsce nastąpił 5-krotny wzrost prób wrogich cyberataków na infrastrukturę Ministerstwa Obrony Narodowej. Stan ten utrzymywał się również w 2023 r. 

Zasadnicza aktywność w cyberprzestrzeni w 2023 r., podobnie jak w 2022 r., została zdeterminowana działaniami zbrojnymi w Ukrainie, wsparciem przez kraje zachodnie społeczeństwa ukraińskiego, jak i bezpośrednio struktur biorących udział w walce i obronie Ukrainy.
Sprawozdanie Pełnomocnika Rządu ds. Cyberprzestrzeni za rok 2023

Celem była przede wszystkim próba uzyskania dostępu do sieci i systemów ministerstwa, a następnie kradzież danych, zwłaszcza dotyczących dostaw sprzętu wojskowego dla Ukrainy. 

„W większości były to ataki typu phishing na konta poczty elektronicznej (służbowe i prywatne) personelu ron (resortu obrony narodowej – red.)” – czytamy w sprawozdaniu Pełnomocnika Rządu ds. Cyberprzestrzeni za rok 2023.

Atakujący sięgali po stealery, czyli złośliwe oprogramowanie mające na celu pozyskanie danych uwierzytelniających z przeglądarek komputerowych. Co więcej, regularnie prowadzone są operacje z myślą o zdobyciu dostępu do kont w usługach chmurowych pracowników MON. Tu stosowano metodę ataków typu brute-force oraz password-spraying.

Oczywiście w tym całym katalogu nie mogło zabraknąć DDoS-ów, których celem było zakłócenie działania określonych zasobów lub usług, za które odpowiedzialne jest DKWOC.

Polska zbrojeniówka i wojskowe uczelnie nękane atakami

Na podstawie ujawnionych w sprawozdaniu pełnomocnika danych można wskazać, że jednym z atrakcyjnych celów w 2023 r. były wojskowe uczelnie publiczne. W przypadku tych placówek i instytucji mówimy o 81 zarejestrowanych incydentach. Nie jest to zaskoczenie. W końcu w tego typu miejscach pracują eksperci i praktycy mający wiedzę, doświadczenie oraz cenne kontakty. 

Poza infrastrukturą MON wrogowie prowadzili operacje wymierzone w firmy z branży zbrojeniowej.

Ataki Rosji na Polskę. Specsłużby Putina w akcji

Kto nas atakuje? Tu pierwsza na myśli przychodzi Rosja. I słusznie. W 2023 r. najbardziej aktywni byli hakerzy powiązani ze Służbą Wywiadu Wojskowego, czyli GRU. Eksperci CSIRT MON odnotowali ataki grupy APT28/Fancy Bear nastawione na m.in. skanowanie infrastruktury resortu obrony. Popularny były też phishing i brute-force. To oczywiście nie koniec. 

Kreml dysponuje rozbudowanym aparatem cyber. Inne służby specjalne także posiadają jednostki hakerskie, które prowadzą działania w interesie Moskwy. Polska jest ich celem, co potwierdzają operacje m.in. Turli (FSB) czy APT29/Cozy Bear (SWR). 

Przykładem może być próba kompromitacji konta Microsoft 365 żołnierza Wojsk Obrony Terytorialnej (WOT) czy zbieranie informacji i/lub chęć zakłócenia dostaw na Ukrainę poprzez uderzenie w podmioty odpowiedzialne za logistykę (publiczne i prywatne). Tego typu kampanie zaobserwowały polskie cyberwojska. 

Białoruś aktywna w Polsce

Jeśli mówimy o Rosji, to trzeba też wspomnieć o Białorusi. Tu bez zaskoczenia: wojskowi specjaliści w ubiegłym roku zarejestrowali aktywność grup UNC1151 oraz WinterVivern. 

W przypadku pierwszej mowa o próbach dostarczenia złośliwego oprogramowania BADPICK, a także kampaniach dezinformacyjnych dotyczących wyborów parlamentarnych oraz rekrutacji do LITPOLUKRBRIG (więcej w tekście: Zawiadomienie z MON o kwalifikacji wojskowej? Uwaga: FAKE NEWS).

Z kolei WinterVivern na początku stycznia ubiegłego roku prowadziła kampanię phishingową. Według danych CSIRT MON, jej celem było 116 użytkowników w domenie mon.gov.pl.

Chiny i haktywiści

Poza wspomnianymi grupami zagrożeń, należy mieć na uwadze podmioty powiązane z Chinami (podszycie się pod apkę Signal) oraz haktywistyczne. Wśród tych ostatnich należy wymienić:

• NoName057(16), prowadzącą ataki DDoS przeciwko Ukrainie oraz jej partnerom, w tym Polsce;
• Killnet, której członkowie mają stać za m.in. upublicznieniem danych z portalu NATO, co objęło również dane żołnierzy i pracowników MON-u (więcej: Poufne dane za... dolara. Prorosyjscy hakerzy uderzają w NATO);
• Solntsepek, powiązaną z atakiem na system nasłuchu radiowego w zakresie HF/VHF.

Wojsko Polskie musi być w gotowości

Należy spodziewać się, że szybko Polska nie wypadnie z kręgu zainteresowania Rosji i Białorusi. Wojna na Ukrainie trwa, wsparcie dla Kijowa ze strony naszego kraju będzie kontynuowane, co oznacza, że nadal infrastruktura MON-u będzie poddawana wrogim działaniom o różnym charakterze. W głównej mierze wywiadowczym, lecz nie można wykluczać prób realizacji bardziej poważnych operacji, w tym prób zakłócenia infrastruktury krytycznej. 

Polskie cyberwojsko musi pozostawać w nieustannej gotowości, bo jak stwierdził sam gen. dyw. Karol Molenda: w cyberprzestrzeni nie występuje okres pokoju; mamy jedynie stany rywalizacji, konfliktu i wojny.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].