W poniedziałek 10 września Federalny Urząd Ochrony Konstytucji (BfV) wspólnie z FBI i agencjami rządowymi kilku innych państw, w tym Australii, Czech, Estonii, Łotwy i Wielkiej Brytanii wydał ostrzeżenie w związku z aktywnością rosyjskiej grupy hakerskiej znanej jako UNC2589, Cadet Blizzard lub Ember Bear. Grupa ta ma działać na usługach powołanej w 2008 r. tajnej jednostki wywiadowczej 29155 rosyjskiego wywiadu wojskowego GRU, znanej z takich działań jak operacje sabotażowe i destabilizacyjne oraz zabójstwa. To tę grupę podejrzewa się m.in. o próbę otrucia byłego agenta GRU Siergieja Skripala i jego córki Julii w Wielkiej Brytanii w marcu 2018 r.

Rosyjskie cyberataki na Zachód. Ostrzeżenie międzynarodowych służb

Od 2020 r. hakerzy na usługach jednostki przeprowadzają cyberataki wykorzystywane do szpiegostwa i sabotażu. Atakom często towarzyszy niszczenie stron internetowych i publikowanie skradzionych danych (tzw. operacje "hack and leak").

W sierpniu tego roku FBI wystawiło list gończy za pięcioma oficerami GRU należącymi do jednostki 29155 i jednym cywilem zaangażowanym w jej operacje cyberprzestępcze. Za informacje, które doprowadzą do schwytania poszukiwanych wyznaczono nagrodę do 10 mln dolarów.

Jak wynika z komunikatu BfV, hakerzy UNC2589 byli odpowiedzialni za kampanię WhisperGate, w ramach której w nocy z 13 na 14 stycznia 2022 r., wykorzystywano złośliwe oprogramowanie przeciwko systemom informatycznym ukraińskich agencji rządowych bezpowrotnie nadpisując dane w zainfekowanych systemach. Wkrótce potem zaatakowano również liczne ukraińskie strony rządowe i częściowo je zniszczono. Grupa zaatakowała również systemy informatyczne państw członkowskich NATO w Europie i Ameryce Północnej oraz w krajach Ameryki Łacińskiej i Azji Środkowej.

GRU zaatakowało infrastrukturę krytyczną

Operacje hakerskie obejmowały działania destrukcyjne, a także skanowanie i kradzież danych. Za główne cele ataków obrano infrastrukturę krytyczną, a także agencje rządowe i firmy z sektora finansów, logistyki, energetyki i ochrony zdrowia. Zaś od początku 2022 r. operacje miały na celu głównie szpiegostwo i sabotaż wsparcia Zachodu dla zaatakowanej przez Rosję Ukrainy. Według komunikatu, w 28 krajach NATO i UE zarejestrowano ponad 14 tys. przypadków skanowania domen.

Jak podkreśla w komentarzu dla PAP Erich Schmidt-Eenboom ekspert. ds. wywiadu i prezes ośrodka Forschunginstitut für Friedenspolitik (Instytutu Badań nad Polityką Pokojową) najbardziej zmasowane cyberataki na sieci dokonane w Europie mają na celu przede wszystkim sabotowanie wsparcia udzielanego Ukrainie.

– Świadczą o tym cyberataki na czeską sieć kolejową, czyli oś transportową do przemieszczania towarów wojskowych i cywilnych do Ukrainy lub sondowanie możliwości sabotażu na poligonie wojskowym Grafenwoehr, do czego doszło w ubiegłym roku. Ogólnie rzecz biorąc, strona rosyjska mści się za wspieranie Ukrainy, atakując za pomocą wojny hybrydowej agencje rządowe, przedsiębiorstwa przemysłowe i instytucje użyteczności publicznej – stwierdził ekspert.

Rosyjska propaganda i dezinformacja

Ostrzeżenie międzynarodowych agencji wywiadu dotyczyło m.in. zagrożenia, jakie dla infrastruktury krytycznej państw NATO stanowi aktywności rosyjskich hakerów. Zdaniem Ericha Schmidt-Eenbooma w przypadku Niemiec sytuacja bezpieczeństwa infrastruktury krytycznej uległa w ostatnich latach poprawie, ale wciąż musi się mierzyć z nowymi wyzwaniami. Jak zauważył ekspert: – Narodowe Centrum Cyberobrony, które zostało rozbudowane od 2016 roku, koordynuje wszystkie środki obronne w sieci składającej się z Federalnego Urzędu Bezpieczeństwa Informacji, Federalnego Urzędu Ochrony Konstytucji, Federalnych Sił Zbrojnych oraz policji federalnej i landowej.

Zauważa, że co prawda "pod egidą federalnej minister spraw wewnętrznych Nancy Faeser możliwości centrum wzrosły, ale nie zawsze mogą nadążyć za rosnącym zagrożeniem ze strony GRU i innych służb, również chińskich. Liczba celów i ich słabych punktów jest po prostu zbyt duża".

Erich Schmidt-Eenboom podkreślił, że od 2022 r. znacznie zacieśniono współpracę między państwami NATO, również w ramach wymiany informacji. – Od pewnego czasu wewnątrz Sojuszu toczy się debata na temat tego, czy powinien on poprzestać na obronie, czy przejść do masowych kontrataków na infrastrukturę krytyczną Federacji Rosyjskiej w ramach wspólnych działań wszystkich państw członkowskich – przekazał. Jego zdaniem ideą przyświecającą wdrożeniu tego typu działań byłoby wyrządzenie Moskwie szkód na tyle poważnych, by skłonić Putina do "pewnego rodzaju zawieszenie broni w cyberatakach".

Cyberbroń Kremla. "Znacznie wyższy poziom niż w szczytowym okresie zimnej wojny"

Zdaniem Schmidt-Eenbooma Federacja Rosyjska w ostatniej dekadzie znacznie zintensyfikowała wysiłki wywiadowcze względem Zachodu. - Przynajmniej od aneksji Krymu działalność wywiadowcza wywiadu wojskowego GRU, wywiadu zagranicznego SWR i wywiadu krajowego FSB osiągnęła znacznie wyższy poziom niż w szczytowym okresie zimnej wojny. A wydalenie z państw europejskich ponad 400 rosyjskich pozornych dyplomatów było z drugiej strony reakcją na niespotykaną skalę przed rokiem 1990 – ocenił.

Ostrzeżenie wydane 9 września przez międzynarodowe agencje wywiadu było już drugim tego typu opublikowanym w ostatnich dniach. 5 września ujawniono raport FBI ukazujący kulisy kremlowskiej machiny propagandowej mającej na celu szerzenie dezinformacji w państwach Zachodu, osłabienie poparcia dla Ukrainy, szkodzenie wizerunkowi NATO i wpływanie na kształt debaty m.in. w Niemczech uznanych za główny cel działań dezinformacyjnych Kremla w Europie.

W 277-stronicowym raporcie FBI cytowano notatki ze spotkań rosyjskich decydentów odpowiedzialnych za kampanie dezinformacyjne na Zachodzie. Podczas tych spotkań omawiano strategie mające na celu zdyskredytowanie USA, Wielkiej Brytanii i NATO oraz rozpowszechnianie informacji mających zniechęcać do dalszego wspierania Ukrainy.

Analiza FBI dotycząca kanałów rosyjskiej propagandy prześledziła też metody wykorzystywane w rosyjskiej kampanii Doppelgänger (Sobowtór), która polega na kopiowaniu stron mediów i instytucji cieszących się zaufaniem odbiorców i rozpowszechnianiem za ich pośrednictwa fałszywych treści w mediach społecznościowych. Dzień po opublikowaniu raportu FBI niemieckie media opisały niedawny przypadek zastosowania taktyki "Sobowtóra" wobec strony internetowej Instytutu Badań nad Gospodarką Światową w Kilonii (IfW). Rosyjscy hakerzy z grupy "Fancy Bear" skopiowali stronę internetowa renomowanego instytutu w celu zaatakowania jej użytkowników złośliwym oprogramowaniem. "Fancy Bear" należy do tej samej grupy hakerskiej, która w 2015 r. zaatakowała stronę niemieckiego Bundestagu a w 2023 r. stronę partii SPD.