Rosyjski wywiad wojskowy atakuje Polskę w cyberprzestrzeni

Amerykańska firma Booz Allen Hamilton – największy kontraktor dla amerykańskiej społeczności wywiadowczej, opublikowała raport, którym scharakteryzowano 15 lat operacji rosyjskiego wywiadu wojskowego GRU w cyberprzestrzeni.

Rzadko się zdarza aby prywatna firma wydawała tak kompleksowy dokument, który opisuje cyberoperacje prowadzone przez rządowe podmioty w tak długim okresie czasu i który koncentruje się na szerszym obrazie tego jak Rosja wykorzystuje swoje jednostki hakerskie aby wspomóc cele polityki zagranicznej. Większość branżowych raportów skupia się na pojedynczych incydentach oraz technicznym opisie ataków, bez politycznego tła. Raport Booz Allen Hamilton wygląda na ich tle zupełnie inaczej.

Przez ostatnie 15 lat dwa główne ugrupowania hakerskie były łączone z GRU: APT28 (Fancy Bear) i Sandworm. Autorzy raportu, uważają, że są to dwie różne jednostki wojskowe w ramach GRU odpowiedzialne za przeprowadzanie operacji w cyberprzestrzeni o różnym poziomie zaawansowania.

Raport twierdzi, że operacje prowadzone przez obie grupy nie mogą być rozpatrywane bez przyjrzenia się politycznemu kontekstowi ich działalności. Booz Allen przeanalizowało ponad 200 incydentów bezpieczeństwa, które były łączone z GRU. Ich realizacja miała wynikać z doktryny wojskowej Federacji Rosyjskiej. Ostatnia wersja tego dokumentu pochodzi z 2014 roku i wymienia 23 wydarzenia, która są klasyfikowane jako potencjalne ryzyko dla bezpieczeństwa dla kraju i na który armia musi znaleźć odpowiedź. To między innymi wzmocnienie NATO, proliferacja broni masowego rażenia, operacje informacyjne i działalność w cyberprzestrzeni, działania wywrotowe, podważanie historii i tradycji patriotycznych czy sparaliżowanie kluczowych rosyjskich zdolności wojskowych. Analitycy Booz Allen uważają, że cyberataki były jednym z narzędzi wykorzystywanych do przeciwdziałania tym zagrożeniom.

We wnioskach z raportu, Booz Allen twierdzi, że ofensywne działania GRU w cyberprzestrzeni było do przewidzenia i rządy oraz firmy, które weszły w spór albo ich zachowanie mogło być interpretowane jako jedno z 23 rodzajów zagrożenia bezpieczeństwa Rosji powinny przewidzieć i przygotować się na atak ze strony rosyjskiej grupy hakerskiej. Analitycy Booz Allen radzą, że powstrzymanie operacji GRU wymaga zrozumienia, dlaczego są one w ogóle przeprowadzane. Wiedza ta może pomóc w przygotowaniu i ich przewidzeniu kiedy, gdzie i w jakiej formie te operacje zostaną przeprowadzone w przyszłości i jakie można podjąć działania zaradcze aby im się przeciwstawić.

NATO w Polsce

Raport Booz Allen Hamilton wymienia państwa w których były prowadzone działania szpiegowskie GRU. Polska była jednym z celów działalności rosyjskiego wywiadu wojskowego i miała to być odpowiedź na stworzenie bazy NATO w Polsce. Z ramach 23 zagrożeń dla bezpieczeństwa narodowego Rosji wymienionych w doktrynie wojskowej Federacji Rosyjskie analitycy Booz Allen zidentyfikowali dwa: wzmocnienie NATO oraz obecność żołnierzy obcych państw przy granicy z Rosją. Według raportu Booz Allen Hamilton, GRU było w lipcu 2014 roku zaangażowane w monitorowanie sektora rządowego oraz wojskowego w Polsce. GRU użyło w tym celu techniki "wodopoju", które polegała na tym, że rosyjscy hakerzy przełamali zabezpieczenia stron należących do administracji publicznej oraz polskich firm z sektora obronnego, gdzie wykorzystali exploity do zainstalowania backdoorów w systemach użytkowników odwiedzających strony. Zdaniem analityków z Booz Allen, użycie tej techniki zamiast ukierunkowanego spearphisingu świadczyło o tym, że Rosjanie desperacko chcieli przeniknąć do tak wielu instytucji oraz polityków jak tylko się dało.

Raport wspomina również o operacji GRU w 2018 roku.  Była to odpowiedz na ujawnienie  w czerwcu 2018 roku przez Mariusza Błaszczaka, że zaproponował stronie amerykańskiej stworzenie stałej bazy wojskowej w kraju. 4 czerwca rozpoczęły się ćwiczenia NATO Saber Strike 18 w Polsce, Łotwie i Litwie. GRU wykorzystało swoich hakerów aby pozyskać więcej informacji. Rosjanie wysłali fałszywe maile do instytucji państwowych oraz umieścili złośliwe oprogramowanie na stronie Ministerstwa Finansów. Celem tych działań było monitorowanie dyskusji, które miały miejsce między Polską a sojusznikami na temat zwiększenia ilości żołnierzy NATO stacjonujących na terytorium Polski.

Ukraina 2014

Analitycy z Booz Alen przypominają, że kiedy wybuchła druga rewolucja na Majdanie, Polska była jednym z największych jej zwolenników oraz dostarczała mnóstwo pomocy. Jej zaangażowanie dyplomatyczne oraz materialne stanowiło ryzyko dla bezpieczeństwa Federacji Rosyjskiej – zgodnie z rosyjską doktryną wojskową. Hakerzy GRU szukali sposobu, żeby utemperować Polskę. W 2014 roku starali się stworzyć plany sparaliżowania sektora energetycznego i atakowali polskie firmy dążąc do stworzenia „przyczółków” do kolejnych działań w sieci. Analitycy Booz Allen podejrzewają, że działania te mogły mieć również na celu pozyskanie dodatkowych informacji, ponieważ Rosja była zaniepokojona polskimi próbami dywersyfikacji dostaw energii elektrycznej. Nie tylko jednak sektor energetyczny padł ofiarą ataków związanych z sytuacją na Ukrainie. Hakerzy GRU wykorzystali również zestrzelenie samolotu pasażerskiego malezyjskich linii lotniczych MH17 nad Ukrainę do wysyłania maili phisingowych do członków rządu, które zawierały odwołania do najnowszych artykułów na temat zdarzenia. Rosyjscy hakerzy podając się za CyberBerkut (grupa haktywistów o prorosyjskim nastawieniu) przypuścili też ataki DDoS na stronę Giełdy Papierów Wartościowych (GPW) 14 sierpnia 2014. Miała to być zemsta za wspieranie przez Warszawę „faszystowskiego” ukraińskiego rządu i wysyłania „najemników” w rejon konfliktu – tak oficjalnie argumentowano atak. Narracja o polskich najemnika walczących w Donbasie była zresztą jednym z elementów rosyjskie kampanie dezinformacyjnej.

Atak DDoS na GPW nie był ostatnim takim działaniem rosyjskich hakerów. GRU przeprowadziło kolejny atak na tę instytucję, który tym razem składał się z kilku faz. 23 października 2014 opublikowano w Internecie 52 megabajtową paczkę, która zawierała loginy pozyskane z dwóch giełdowych gier edukacyjnych, które były zarządzane przez GPW. Hakerzy ujawnili również dane do logowania na konto administratora serwerów i ruterów GPW oraz obraz części wewnętrznej sieci giełdy. To nie był jednak ostatni etap ataku, ponieważ hakerzy umieścili również na stronach powiązanych z GPW zdjęcia dżihadystów oraz napis „To be continued”. Analitycy Booz Allen uważają, że rosyjska operacja była demonstracją siły i miała pokazać stronie polskiej konsekwencje dalszego pogarszania się relacji pomiędzy Moskwą i Warszawą. Jeśli polski rząd zdecydowałby się na kontynuowanie proukraińskiego kursu, GRU miało przystąpić do jeszcze bardziej destrukcyjnych działań.

GRU angażowało się również w operacje informacyjne wykorzystując do tego konta powiązane z Polską. Przykładowo podszywając się pod Anonymous Poland starali się zdyskredytować portal dziennikarski Bellingcat oraz angażować się w inne kampanie dezinformacyjne. Konto to było również wykorzystywane do ujawniania fałszywych czeków na 156 milionów dolarów wystawionych dla Hillary Clinton w 2016 roku czy też informacji wykradzionych ze Światowej Agencji Antydopingowej (WADA). Tweet wysyłany z fałszywego konta Anonymous Poland były potem rozpowszechnianie przez boty zakupione na czarnych rynkach i używane wcześniej do nielegalnych kampanii marketingowych – twierdzą analitycy.

Kierunek polski w raporcie zajmuje pokaźne miejsce, ale nie jest jedynym. Analitycy Booz Allen wymienili również aktywność GRU przeciwko celom we Francji, Rumunii, Niemczech, Czarnogórze i Stanom Zjednoczonym. Rosyjscy hakerzy angażowali się w operacje w trakcie trwających napięć politycznych, najczęściej aby pozyskać informacje, ale również, żeby wzmocnić kampanię dezinformacyjną. Ich głównym celem było wspieranie rosyjskiej polityki zagranicznej i bezpieczeństwa oraz wzmocnienie pozycji Moskwy.