Ataki Rosji na Polskę. Agencja Wywiadu o zagrożeniu

Od momentu rosyjskiej inwazji na Ukrainę w naszym kraju nastąpił wzrost liczby wrogich cyberoperacji. Podmioty odpowiedzialne za cyberbezpieczeństwo RP stawiają czoła kampaniom wymierzonym w polskie sieci i systemy. Celem jest m.in. infrastruktura wojskowa, o czym mówili przed naszymi kamerami przedstawiciele Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC): gen. dyw. Karol Molenda oraz płk Łukasz Jędrzejczak.

W analizie przeprowadzonej przez Agencję Wywiadu i Ministerstwo Cyfryzacji również mowa o wzroście. „Polska oraz reprezentujące ją instytucje coraz częściej padają ofiarą cyberataków” – czytamy w dokumencie „Analiza zagrożeń dla cyberbezpieczeństwa placówek dyplomatycznych RP oraz innych państw NATO w kontekście wybranych ataków hakerskich”. 

Z danych Ministerstwa Cyfryzacji wynika, że w 2022 r. w Polsce liczba zgłoszonych incydentów w porównaniu z 2021 r. wzrosła w sektorze rządowym o ok. 62%, a w sektorze cywilnym o ok. 178%. Liczba ataków typu phishing wzrosła o 61% w 2022 r.
„Analiza zagrożeń dla cyberbezpieczeństwa placówek dyplomatycznych RP oraz innych państw NATO w kontekście wybranych ataków hakerskich”

Dlaczego Polska jest atakowana?

Dlaczego tak się dzieje? Odpowiedź jest prosta: nasz kraj jest wartościowym celem dla wroga. Wystarczy wskazać, że oficjalnie i jednoznacznie opowiedzieliśmy się za Ukrainą, wspieramy ją na wielu polach (politycznym, wojskowym, społecznym). 

Co ważne, jesteśmy hubem pomocy dla Kijowa. To przez Polskę przebiega jeden z głównych szlaków pakietów wsparcia (uzbrojenie, pomoc humanitarna itp.). W efekcie, w sieciach i systemach znajduje się wiele interesujących adwersarza danych, które chce pozyskać poprzez kampanie cyberszpiegowskie. A zakłócenie infrastruktury może utrudnić np. logistykę i transporty za naszą wschodnią granicę.

Problem ten wyjaśnialiśmy w naszym materiale wideo:

Aneksja Krymu

Należy jednak pamiętać, że agresywne działania w cyberprzestrzeni ukierunkowane przede wszystkim na Ukrainę nie zaczęły się 24 lutego 2022 r. Znaczące cyberoperacje pojawiły się w czasie chociażby aneksji Krymu przez Rosję(2014 r.). Wówczas prokremlowskie podmioty wkroczyły stanowczo do akcji, co doprowadziło do poważnych incydentów u naszego wschodniego sąsiada. 

„Skala zniszczeń spowodowanych tymi działaniami wielokrotnie szokowała międzynarodową społeczność oraz skutecznie zakłócała życie zwykłych Ukraińców” – wskazują Agencja Wywiadu i resort cyfryzacji, odnosząc się do tamtych zdarzeń.

Przed rosyjską inwazją

W przypadku wydarzeń z ubiegłego roku, cyberoperacje miały przygotować „grunt” pod realizację militarnych celów. Rosja starała się sparaliżować sferę informacyjną Ukrainy poprzez m.in. ataki DDoS. Zakłócono również działanie infrastruktury Viasat (dostawca internetu satelitarnego), z której korzystały wojska naszego sąsiada, aby utrudnić im komunikację i łączność w tak ważnym momencie. 

Rosyjscy hakerzy dążą do niszczenia ukraińskich sieci wojskowych, cywilnych oraz rządowych i zakłócania w nich przekazu, głównie poprzez ataki destrukcyjne na systemy i bazy danych. Obok tego typu działań operacje hakerskie służą Rosjanom do pozyskiwania informacji wspierających wysiłek wojenny (cyberszpiegostwo).
„Analiza zagrożeń dla cyberbezpieczeństwa placówek dyplomatycznych RP oraz innych państw NATO w kontekście wybranych ataków hakerskich”

Cyberataki na wojnie

To wszystko pokazuje, że cyberprzestrzeń faktycznie jest jednym z integralnych obszarów prowadzenia działań nie tylko w ramach współczesnych wojen i konfliktów (obok lądu, powietrza, wody i kosmosu), ale i pokoju (operacje hybrydowe). 

Ze względu na swój charakter (brak granic), kampanie prowadzone w wirtualnym świecie oddziałują na inne kraje. Jak już wspomniałem wcześniej, Polska jest tu doskonałym przykładem. Liczne próby dobrze przygotowanych i ukierunkowanych kampanii phishingowych, masowe ataki DDoS, ransomware, użycie wiperów to jedynie skromny wycinek tego, z czym muszą mierzyć się podmioty odpowiedzialne za cyberbezpieczeństwo naszego kraju.

„Kawał dobrej roboty”

Wysiłki zewnętrznych aktorów, często grup powiązanych z Rosją, jak na razie nie doprowadziły do poważnego incydentu nad Wisłą. Nawet w Ukrainie (poza początkowym Viasat) nic takiego nie miało miejsca. Dlaczego?

W dużej mierze to zasługa specjalistów, którzy w ramach całodobowych zespołów każdego dnia pracują na rzecz ochrony i obrony infrastruktury IT. Mowa tu o strukturach wojskowych, jak i cywilnych oraz tych w biznesie. Każdy z tych sektorów realizuje zadania z zakresu cyberbezpieczeństwa – i jak widać – do tej pory należy ocenić, że skutecznie. 

Zespoły odpowiedzialne za cyberbezpieczeństwo wykonały kawał dobrej roboty” – komentował sprawę przed naszymi kamerami gen. dyw. Karol Molenda. Więcej w filmie:

Rosja ma siłę

Czy zatem możemy ogłosić już sukces? Z pewnością nie. Czujność to podstawa. Nie należy spocząć na laurach, lecz stale rozwijać zdolności i umiejętności w obszarze cyber. Wrogie podmioty nie tracą czasu; pracują nad nowymi metodami, technikami oraz narzędziami ataków, aby zwiększyć powodzenie swoich operacji. 

Agencja Wywiadu i Ministerstwo Cyfryzacji podkreślają, że powiązani z Rosją hakerzy „są zdolni do niszczenia infrastruktury, w tym krytycznej, lub zakłócania jej funkcjonowania, a ich istotnym zadaniem jest wykradanie wrażliwych danych”. Widzimy więc, że Kreml sięga po np. grupy APT, aby zastępować tradycyjne operacje szpiegowskie tymi „cyber”.

Obecnie Moskwę w szczególności interesują dane dotyczące m.in. skali pomocy dla Ukrainy. Mowa o np. dostarczanym uzbrojeniu. W takie przedsięwzięcia zaangażowanych jest wiele podmiotów: od przedstawicieli sceny politycznej, przez państwowe spółki i wojsko, na prywatnych firmach kończąc. Rozbudowany łańcuch dostaw daje potencjalnie wiele wektorów do ataku. 

W obliczu tego zagrożenia podstawowym zadaniem instytucji odpowiedzialnych za bezpieczeństwo państwa, w tym w cyberprzestrzeni, jest ochrona kanałów logistycznych oraz infrastruktury krytycznej.
„Analiza zagrożeń dla cyberbezpieczeństwa placówek dyplomatycznych RP oraz innych państw NATO w kontekście wybranych ataków hakerskich”

Hakerzy rosyjskiego wywiadu

Analitycy Agencji Wywiadu zwracają uwagę na szczególną grupę celów – polskie placówki dyplomatyczne. Wskazują na liczne próby cyberoperacji a za jedną z najaktywniejszych i zaraz najniebezpieczniejszych uznają grupę APT29 (znana również jako Cozy Bear lub Nobelium).

Rosja wykorzystuje operacje w cyberprzestrzeni jako narzędzie walki hybrydowej do osiągnięcia swoich celów strategicznych.
„Analiza zagrożeń dla cyberbezpieczeństwa placówek dyplomatycznych RP oraz innych państw NATO w kontekście wybranych ataków hakerskich”

Jej hakerzy mają być powiązani z rosyjską Służbą Wywiadu Zagranicznego i specjalizują się w kampaniach phishingowych, które stanowią pierwszy etap operacji. Rozsyłane wiadomości ze złośliwym załącznikiem lub linkiem są bardzo starannie przygotowane, często spersonalizowane. Do ich dystrybucji mogą służyć przejęte wcześniej skrzynki mailowe. 

Przykład cyberataku ze strony grupy Cozy Bear opisuje Agencja Wywiadu: „Jedna z takich kampanii, która została zidentyfikowana przez analityków ds. cyberbezpieczeństwa, była związana z wykorzystaniem zmodyfikowanego rzeczywistego ogłoszenia sprzedaży samochodu wysłanego przez rzekomego pracownika placówki dyplomatycznej. To, że atakujący przygotował fałszywą ofertę (…), łudząco podobną do oryginalnej, może sugerować, że miał on dostęp do skrzynki jednego z odbiorców autentycznej wiadomości”.  

Jesteśmy filarem wschodniej flanki

Źródłem zagrożeń są również inne ugrupowania, jak np. Fancy Bear. To sprawia, że Polska musi zachować czujność i być gotowa na wrogie działania prowadzone w sieci. Zwłaszcza, jeśli bierzemy pod uwagę położenie i pozycję naszego kraju. Ciężar odpowiedzialności za obronę wschodniej flanki NATO spoczywa w dużej mierze na naszych barkach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].