Polska na celowniku hakerów z Rosji. Służby ujawniły dwa groźne incydenty. Kto stał za atakiem na stronę Sejmu?
W trakcie toczącej się wojny na Ukrainie, w polskiej cyberprzestrzeni identyfikowanych jest coraz więcej zdarzeń klasyfikowanych jako incydenty komputerowe, w tym ataków przeprowadzanych przez prorosyjskich hakerów. To odpowiedź Federacji Rosyjskiej na zaangażowanie Polski na rzecz Ukrainy i próba destabilizowania sytuacji w naszym kraju. W przesłanym do redakcji portalu Niezalezna.pl komunikacie pełnomocnik ds. bezpieczeństwa przestrzeni informacyjnej RP Stanisław Żaryn ujawnia szczegóły dwóch incydentów zidentyfikowanych przez Zespół CSIRT ABW.
W zasadzie od pierwszych dni rosyjskiej inwazji na Ukrainę Polska jest stałym obiektem działań hybrydowych Kremla, w tym także ataków w cyberprzestrzeni.
Analiza zagrożeń w cyberprzestrzeni potwierdziła, że w ostatnim czasie wroga wobec Polski działalność w cyberprzestrzeni znacząco się nasiliła. Zdaniem pełnomocnika ds. bezpieczeństwa przestrzeni informacyjnej RP jest to konsekwencja naszego zaangażowania w pomoc walczącej Ukrainie, a także zdecydowanego zabiegania o wsparcie dla Kijowa na arenie międzynarodowej.
Poprzez wrogie działania w cyberprzestrzeni Rosja chce wywrzeć na Polskę presję, jako na kraj frontowy i kluczowego sojusznika Ukrainy na wschodniej flance NATO. Celem ataków hakerskich stają się zarówno domeny administracji publicznej, jak i firmy prywatne, media czy zwykli użytkownicy. Szczególnie zagrożone są podmioty z sektorów strategicznych, np. energetycznego czy zbrojeniowego. Część tych wrogich kampanii można powiązać bezpośrednio z działalnością prorosyjskich grup hakerskich. Tak było np. w przypadku ostatniego ataku na stronę internetową polskiego Sejmu. Zespół CSIRT GOV funkcjonujący w Agencji Bezpieczeństwa Wewnętrznego zidentyfikował problemy z dostępnością strony sejm.gov.pl. Analiza danych pokazała, że niedostępność serwisu była wynikiem ataku przeprowadzonego przez prorosyjską grupę NoName057(16). Grupa ta na portalu Telegram wyznaczyła jako jeden ze swoich celów właśnie sejmową stronę internetową. Atak ten stanowił odpowiedź na przyjęcie przez Sejm RP uchwały o uznaniu Rosji za państwo sponsorujące terroryzm.
- ujawnia Stanisław Żaryn.
Pełnomocnik ds. bezpieczeństwa przestrzeni informacyjnej RP przypomina, że tego typu incydenty w cyberprzestrzeni to typowe dla Rosji działanie retorsyjne, stanowiące odpowiedź na niekorzystne i niewygodne dla Federacji Rosyjskiej kroki podejmowane przez inne państwa.
Powiązane z Kremlem grupy hakerskie stosują ataki ransomware, DDoS czy phishing, a cel wrogich działań jest zbieżny z założeniami ataku hybrydowego:
- destabilizacja,
- zastraszanie,
- sianie chaosu.
To jeszcze nie wszystko. Okazuje się bowiem, że do działań agresywnych wykorzystywane są również fałszywe struktury, jak np. strony internetowe podszywające się pod serwisy. Tak było w przypadku próby utworzenia strony podszywającej się pod domenę rządową gov.pl
W pierwszych dniach grudnia Zespół CSIRT GOV uzyskał informację o zarejestrowaniu strony phishingowej podszywającej się pod rządową stronę gov.pl. Treść fałszywej witryny sugerowała podpisanie przez prezydenta RP dekretu o odszkodowaniach dla mieszkańców Polski, finansowanych z funduszy europejskich. Odnośnik „Chciałbym wiedzieć” prowadził przez proces wyłudzający dane osobowe użytkownika, a następnie przekierowywał do strony, wyłudzającej dane karty płatniczej pod pozorem pobrania opłaty weryfikacyjnej, umożliwiającej przekazanie odszkodowania. Dzięki interwencji ABW stronę zablokowano. To typowa operacja, która miała na celu sianie chaosu, deprecjonowanie państwa, ale także zbieranie danych osobowych oraz wyłudzenia finansowe.
- ujawnia Stanisław Żaryn.
Jak wyjaśnia, każdy wykryty w ostatnim czasie atak w cyberprzestrzeni realizuje złożone cele i ma różnorodne skutki – społeczne, polityczne czy finansowe. Coraz częściej ataki w cyberprzestrzeni są wykorzystywane także do rozprzestrzeniania rosyjskiej dezinformacji oraz do pozyskiwania przez rosyjskie służby specjalne danych i wrażliwych informacji.
Operacją, która prowadzona jest jednocześnie tymi dwoma metodami jest kampania „GhostWriter”. Polega ona na atakowaniu adresów poczty internetowej oraz kont w mediach społecznościowych osób publicznych z krajów Europy Środkowo-Wschodniej, w tym głównie Polski. Autorzy tej kampanii próbują przejmować zasoby informacyjne na potrzeby rosyjskiej dezinformacji. W ostatnich miesiącach operacja ta koncentruje się na działaniach przeciwko Polsce.
- tłumaczy Żaryn.
Ze względu na stale rosnącą skalę zagrożeń, polska cyberprzestrzeń jest nieustannie monitorowana pod kątem potencjalnych niebezpiecznych zdarzeń i zaistniałych incydentów, tak aby możliwe było jak najszybsze podjęcie stosownych działań. Jednocześnie pełnomocnik ds. bezpieczeństwa przestrzeni informacyjnej RP podkreśla, że istotne jest stosowanie środków prewencyjnych, by udaremniać ataki.
Służy temu również wprowadzony przez Prezesa Rady Ministrów trzeci stopień alarmowy Charlie-CRP, który dotyczy zagrożeń w cyberprzestrzeni. Działania podejmowane na podstawie wprowadzonego stopnia alarmowego są odpowiedzią na rosnące zagrożenia w cyberprzestrzeni.
- wyjaśnia Stanisław Żaryn.
Źródło: Niezalezna.pl, gov.pl/web/sluzby-specjalne
