Polskie instytucje zostały zaatakowane przez cyberszpiegów Putina. Powstał raport ABW

"Na przełomie 2015 i 2016 roku dwie grupy cyberszpiegów włamały się do serwerów Partii Demokratycznej w USA i sztabu kandydatki tego ugrupowania Hillary Clinton, powodując m.in. głośny wyciek maili. Dopiero w maju 2016 roku intruzi zostali usunięci z systemów. Jak później ustalono, za tym słynnym na cały świat atakiem stały grupy, znane jako APT28 i APT29. Prawdopodobnie związane są z rosyjskimi Głównym Zarządem Wywiadowczym GRU i Federalną Służbą Bezpieczeństwa FSB. Mają na koncie też inne głośne włamania, a w ubiegłym roku ta elita rosyjskich cyberszpiegów wzięła na cel Polskę" - czytamy w "Rzeczpospolitej".

Cyberbezpieczeństwo

Według gazety wynika to z "Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2022 roku" autorstwa CSIRT GOV, zespołu podległego ABW, który dba o bezpieczeństwo informatyczne najważniejszych instytucji.

"W opracowaniu rysuje się nieciekawy obraz. Wynika z niego, że od rozpoczęcia rosyjskiej agresji na Ukrainę znacznie wzrosła liczba podmian stron internetowych, ataków DDoS, czyli z wielu komputerów jednocześnie, a także kampanii phishingowych, których celem jest wyłudzenie danych. Szczególnie groźnie zaś brzmią doniesienia o atakach grup, zwanych APT" - podaje dziennik.

"Czym są? Ich nazwa pochodzi od angielskich słów advanced persistent threat (zaawansowane trwałe zagrożenie) i najczęściej przyjmuje się, że są to profesjonalne grupy, sponsorowane przez rządy państw" - zaznacza. "Istnieje oczywiście problem atrybucji, czyli ich formalnego umiejscowienia, bo nikt otwarcie nie powie, że pracuje dla GRU czy FSB. Natomiast jest wiele przesłanek i pośrednich dowodów na to, że są one umocowane w strukturach rządów, w tym w służbach specjalnych" - mówi "Rz" Mirosław Maj z Fundacji Bezpieczna Cyberprzestrzeń.

Szpiedzy Putina

Gazeta podaje, że Raport CSIRT GOV wylicza działania w Polsce pięciu takich grup w 2022 roku, a Oprócz APT28 i APT29 miały być to Turla, UAC-0056 i Mustang Panda. Ta ostatnia jest grupą chińską, znaną z ataków na amerykańskie think tanki i organizacje pozarządowe. "UAC-0056 i Turla kojarzone są najczęściej z Rosją. Tę ostatnią grupę mają tworzyć agenci Federalnej Służy Bezpieczeństwa z Riazania. W maju resort sprawiedliwości USA pochwalił się sukcesem w walce z Turlą. Ogłosił, że FBI udało się zidentyfikować i unieszkodliwić złośliwe oprogramowanie Turli, wykradające informacje z systemów komputerowych w kilkunastu krajach" - przypomina dziennik.

"W jaki sposób cyberszpiedzy Putina działali w Polsce? Dość szeroko zostało to omówione w raporcie. Np. grupa APT29 przeprowadziła swoją kampanię w maju 2022 roku, podszywając się pod ambasadę Portugalii. Dystrybuowała plik »Agenda.pdf«, w którym zawarty był odnośnik, rzekomo do kalendarza ambasadora, natomiast sama wiadomość nakłaniała ofiarę do umówienia spotkania. Kliknięcie uruchomiało szereg zdarzeń, mających uzyskać dostęp do komputera. Kolejną kampanię APT29 przeprowadziła w październiku, podszywając się pod ambasadę Serbii. Z kolei w kampanii Turli złośliwe oprogramowanie nazywało się »Soviet monuments in Poland.xll« i zawierało listę pomników sowieckich w naszym kraju" - podkreśla "Rzeczpospolita".

Zaznacza, że w raporcie CIRT GOV jest wiele szczegółów technicznych ataków, nie ma jednak mowy o tym, kto konkretnie był celem i czy wykradziono jakieś dane.

• "Uciążliwe" ataki z Indii na kanadyjskie serwery. Na celowniku wojsko i parlament

dz/PAP, IAR