Rosyjscy hakerzy odpowiedzialni za ataki na polityków i wojsko? Tak uważają Niemcy

W grudniu na facebookowym profilu minister rodziny i polityki społecznej Marleny Maląg pojawił się wpis, który rozjuszył internatów. Wpis dotyczył strajku kobiet i używał wobec strajkujących takich określeń jak "Papuasi", "bezmózgie dzikusy" czy "inkubatory". Minister oświadczyła, że padła ofiarą cyberataku.

Niedługo później, bo w styczniu, na Twitterze Marka Suskiego pojawiły się zdjęcia jego roznegliżowanej znajomej. Polityk utrzymywał, że to wina hakerów, którzy włamali się na jego konto. Wiele osób śmiało się z niego, ale okazuje się, że mógł mieć rację.

Czytaj też: Marek Suski padł ofiarą hakerów. Wszczęto śledztwo

W środę niemieccy eksperci ds. cyberbezpieczeństwa wskazali, że za wieloma zdarzeniami z zakresu bezpieczeństwa w sieci faktycznie mogą się kryć rosyjscy hakerzy z grupy Ghostwriter. Co więcej, wykorzystywali do tego strony podszywające się pod popularne polskie serwisy internetowe.

Wskazali, że do ataków używano serwisów, udających najpopularniejsze polskie domenty internetowe. Pojawia się także adres podszywający się pod serwis użytkowany przez Wojsko Polskie. Listę fałszywych domen można zobaczyć poniżej:

Zdecydowanie polskie wojsko i użytkownicy portali WP, Onet i Interia są na celowniku tej grupy, świadczy to o przygotowaniu infrastruktury pod te ataki - mówi o2 Marcin Siedlarz, były oficer ABW, obecnie manager w Mandiant Advanced Practices.

I dodaje, że "zamiar na pewno jest, potrzeba tylko dowodów w postaci maili podszywających się pod te strony". Mechanizm procederu opisujemy pokrótce poniżej.

Na czym polega taki atak? Wbrew pozorom nie potrzeba do niego wielkiej infrastruktury i olbrzymiej armii hakerów, wyposażonych w zaawansowane superkomputery.

Cały atak polega na tym, że rosyjskie służby namierzają cele wysokiej wartości - polityków, działaczy, ich rodziny. Namierza się ich skrzynkę pocztową. Następnie wysłany zostaje link do zalogowania się na podrobionej stronie, bardzo przypominającej domenę, w której dany człowiek faktycznie ma zarejestrowaną pocztę - tłumaczy Piotr Konieczny, redaktor naczelny branżowego portalu niebezpiecznik.pl

- Jeżeli ofiara się nie zorientuje i wpisze hasło, to mają je atakujący. Mogę wejść na konto pocztowe ofiary i czytać kierowane do niej maile. Także te służące do resetu hasła. W ten sposób bardzo łatwo można dobrać się do konta polityka w serwisie społecznościowym... i mamy taki klops, jak np. z Markiem Suskim czy Marleną Maląg - tłumaczy dalej ekspert.

I dodaje, że w jego ocenie są to proste, wręcz trywialne do przeprowadzenia ataki dla osób mających wiedzę, trochę czasu i darmowe narzędzia, dostępne w sieci.

A Rosjanie są w tym akurat mistrzami - podsumowuje Piotr Konieczny.

Ofiarami ataków padali nie tylko politycy z Polski. Ich ostrze było wymierzone także w cele hakerów w Niemczech i na Ukrainie. Widać to po liście. Co ciekawe, ta sama grupa miała - jak wskazuje Marcin Siedlarz - odpowiadać także za cyberoperację, wymierzoną przeciwko Polsce i Litwie.

Polegała ona - jak opisuje raport Mandiant - na wywarciu wrażenia, że żołnierki Wojska Polskiego świadczą usługi seksualne wobec polityków z Litwy i Polski.

Czytaj też: Cyberataki na Australię. Są wyrafinowane. "Musi stać za nimi państwo"

Czemu jednak mają służyć tak zaawansowane operacje? Jak zwykle w takich przypadkach - destabilizacji.

Ostatnia dekada to gwałtowny wzrost aktywności służb wywiadowczych w cyberprzestrzeni. Nowe technologie cyfrowe dały wywiadom nowe, niewyobrażalne dotychczas możliwości zdobywania unikatowej wiedzy. Doskonalone w niezwykłym tempie narzędzia wywiadu cyfrowego oraz radioelektornicznego zmieniły i cały czas zmieniają oblicze wywiadu, przenosząc rywalizację wywiadów do cyberprzestrzeni. Za najbardziej wyrafinowanymi atakami hakerskimi na strategiczne obiekty rządowe i przemysłowe stoją przeważnie służby wywiadowcze najbardziej zaawansowanych w tej dziedzinie państw - tłumaczy o2 były szef Agencji Wywiadu, płk Grzegorz Małecki.

Celami - jak tłumaczy oficer - są przede wszystkim najpilniej strzeżone sekrety ich wrogów, ale także kluczowe systemy informatyczne. Dzięki przejęciu kontroli nad nimi wywiady mogą sparaliżować kluczowe sektory zaatakowanego państwa. Mogą także doprowadzić do fizycznego zniszczenia strategicznych obiektów przemysłowych z odległości wielu tysięcy kilometrów.

Ale to tylko jeden element szpiegowskiej układanki. Tego rodzaju operacje, prowadzone relatywnie niedużymi nakładami sił i środków, są skuteczne i... tanie.

Istotna przewaga tego typu działalności nad tradycyjnym wywiadem osobowym, (HUMINT - human intelligence), polega na tym, że znacząco ogranicza ryzyko dekonspiracji i przyłapania agenta na gorącym uczynku. Ponadto jest nieporównanie mniej kosztowne w utrzymaniu i pozwala, jak czyni to wiele służb, outsorsować te zadania poza służbę, zlecając je wynajętym hakerom, dzięki czemu mogą się odciąć od nich w razie wpadki - tłumaczy dalej płk Małecki.

Dodaje też, że tego typu działania nie wymagają długotrwałego, żmudnego i kosztownego przygotowania, jakie jest konieczne w przypadku klasycznych szpiegów.

Należy jednak pamiętać, że żaden atak hakerski ani inne operacje w cyberprzestrzeni nie odpowiedzą na pytanie, co siedzi w głowie człowieka podejmującego kluczowe decyzje i jakie ma zamiary. Takie zadanie może skutecznie zrealizować jedynie drugi człowiek. Klasyczny wywiad osobowy jest więc w niektórych sprawach nie do zastąpienia - kończy były szef AW.