Reklama

Armia i Służby

Holenderski wywiad zhakował Rosjan

Fot. S.J. de Waard /Wikipedia Commons/CC 2.5
Fot. S.J. de Waard /Wikipedia Commons/CC 2.5

Hakerzy z holenderskiej agencji wywiadu AIVD dostarczyli FBI kluczowe informacje na temat rosyjskiej ingerencji w amerykańskie wybory. Przez lata Holendrzy mieli dostęp do sieci i systemów grupy Cozy Bear – informuje w swoim raporcie holenderska gazeta Volkskrant and Nieuwsuur.

W 2014 roku, hakerzy z AIVD dostali się do sieci komputerowych uniwersyteckiego budynku położonego obok Placu Czerwonego, która należała do znanej rosyjskiej grupy Cozy Bear. Rok później obserwowali atak rosyjskich hakerów na Komitet Partii Demokratycznej w Stanach Zjednoczonych. Informacje uzyskane przez holenderskich hakerów stanowiły kluczowy dowód świadczący o rosyjskim zaangażowaniu w kampanię prezydencką w 2016 roku. Były podstawą do wszczęcia śledztwa FBI w ten sprawie.

W oficjalnych rządowych komunikatach, trzy amerykańskie agencje wywiadowcze stwierdziły z dużą dozą pewności, że Kreml stał za atakiem na Komitet Partii Demokratycznej. Informacje obejmujące m.in. dowody techniczne Amerykanie mieli  otrzymać od AIVD.

Holandia oficjalnie przyznała się do posiadania ofensywnych zdolności w cyberprzestrzeni. Zespół AIVD liczy od 80 do 100 osób i jest odpowiedzialny za operacje ofensywne (Computer Network Attack) jak również za obronę sieci  (Computer Network Defence). Jest częścią Joint Sigint Cyber Unit – wspólnej jednostki AIVD i  holenderskiego wywiadu wojskowego MIVD, która liczy około 300 osób.

Nie wiadomo jakie dokładnie informacje udało się pozyskać holenderskim hakerom na temat działalności Rosjan. Według informacji gazety, dowiedzieli się oni skąd grupa APT29 operuje. Od 2010 roku grupa ta była zaangażowana w wiele ataków wymierzonych w rządy obcych państw, koncerny energetyczne czy telekomy na całym świecie, wliczając w to holenderskie instytucje i przedsiębiorstwa. Eksperci ze służb wywiadowczych Izraela, Wielkiej Brytanii i Stanów Zjednoczonych polowali na Cozy Bear latami.  

Włamanie do sieci APT29 nastąpiło latem 2014 roku przed zestrzeleniem pasażerskiego samolotu MH17 przez Rosjan nad terytorium Ukrainy. AIVD udało się również przejąć kontrolę nad kamerami bezpieczeństwa, dzięki czemu mogli obserwować, kto wchodził i wychodził z budynku i robić zdjęcia. Potem materiał ten był przesyłany do siedziby holenderskiego wywiadu i porównywany ze zdjęciami znanych rosyjskich szpiegów.

AIVD bardzo szybko zebrało owoce swojej hackerskiej aktywności. W listopadzie Rosjanie przygotowywali się do ataku na Departament Stanu. Udało się im uzyskać adresy poczty elektronicznej i loginy wielu urzędników. Ponadto zinfiltrowali sieci komputerowe odpowiedzialne za przesyłanie informacji niejawnych. Holendrzy ostrzegli przed planowaną operację łącznika NSA w amerykańskiej ambasadzie w Hadze, który poinformował społeczność wywiadowczą w Stanach Zjednoczonych. Dzięki informacjom dostarczonym przez AIVD FBI i NSA były w stanie odeprzeć rosyjskich hakerów. Swoista batalia w cyberprzestrzeni miała trwać ponad 24 godziny. Rosjanie są niezwykle agresywni w swoich działaniach, ale nie wiedzieli, że są obserwowani przez holenderskich szpiegów. Dane AIVD okazały się na tyle wartościowe, że NSA miało otworzyć otwartą linię z siedzibą holenderskiego wywiadu.

Wykorzystując serwery (Command and Control C&C), Rosjanie próbowali utworzyć połączenie ze złośliwym oprogramowaniem znajdującym się w sieci Departamentu Stanu i w celu przesłania informacji. Amerykanie zawczasu zostali poinformowani przez holenderskich kolegów, gdzie znajdują się serwery odcinając do nich dostęp.  Zdaniem CNN miał to być najgorszy atak hakerski w historii Stanów Zjednoczonych. Departament Stanu był zmuszony odciąć dostęp do swojej poczty elektronicznej na cały weekend w celu zwiększenia ich bezpieczeństwa.

W Aspen w marcu 2017 roku, zastępca dyrektora NSA Richard Ledgett powiedział, że amerykański wywiad był w stanie śledzić zmieniające się metody ataków Rosjan i dostosowywać swoje system obronne do nich. Amerykańskie media informowały, że było to możliwe dzięki informacjom dostarczonym przez zachodniego sojusznika. W końcu Amerykanom udało się pozbyć Rosjan z sieci Departamentu Stanu, ale w międzyczasie Rosjanie zdążyli wysłać spreparowaną wiadomość do jednej z osób pracujących w Białym Domu. W ten sposób uzyskali dane do logowania i dostali się do serwera zawierającego wysłane i odebrane wiadomości prezydenta Baracka Obamy. Ponadto zdobywali informacje o mailach wysyłanych do i z ambasad oraz notatek o prowadzonej polityce i projektach legislacyjnych. Nie udało im się jednak dostać do serwerów odpowiedzialnych za przesyłanie wiadomości z jego osobistego BlackBerry, który miał zawierać tajemnice państwowe.

AIVD od 2014 miało dostęp do wywiadowczej „kopalni złota” będąc w stanie monitorować cele rosyjskich służb wywiadowczych i metody, które stosują w swojej pracy. Zdaniem holenderskiej gazety, APT29 ma pracować dla Służby Wywiadu Zagranicznego Federacji Rosyjskiej SVR. Dlatego też w wywiadzie telewizyjnym Rob Bertholee powiedział w Holenderskiej Telewizji, że nie ma żadnych wątpliwości, że Kreml stoi za rosyjską aktywnością w cyberprzestrzeni.

Informacje dostarczone przez AVID o rosyjskiej ingerencji w wybory prezydenckie w USA zaskoczyły Amerykanów, którzy nie byli w ogóle przygotowani na taką sytuację. Holendrzy za dostarczenie tych ważnych danych zostali wynagrodzeni przez swoich amerykańskich sojuszników  dostępem do informacji wywiadowczych i najnowszych technologii. Wcześniej NSA udało się m.in. spenetrować urządzenia mobilne rosyjskich urzędników wysokiego szczebla. Gazeta nie podaje jednak czy wśród wymienionych informacji były raporty o MH17.

Holenderski wywiad był jednak oburzony późniejszym zachowaniem Amerykanów, którzy ujawnili prasie informacje, że jedna z zaprzyjaźnionych służb wywiadowczych ma olbrzymi dostęp do rosyjskich sieci i systemów. Od tego czasu AIVD miało być bardziej niechętne dzieleniu się informacjami z innymi służbami. Stało się też bardziej podejrzliwe względem Amerykanów po wyborze Donalda Trumpa na prezydenta USA.

Obecnie hakerzy AIVD nie mają już dostępu do sieci Cozy Bear. Szacuje się, że operacja trwała od roku do 2,5. AIVD nie odniosło się do informacji podanych przez Volkskrant.   

Reklama

Komentarze

    Reklama