Armia i Służby
#CyberMagazyn: Rosyjskie GRU na Zachodzie. Hakerzy w zagranicznych misjach [WNIOSKI]
Hakerzy rosyjskiego wywiadu wojskowego są wysyłani za granicę w celu realizacji interesów Kremla. To pokazuje, że ich działalność nie polega jedynie na zdalnym „klepaniu w klawiaturę”, co stanowi wyzwanie dla innych państw. W celu podniesienia bezpieczeństwa powinniśmy zatem skupić się nie tylko na ochronie cyberprzestrzeni.
Cyberprzestrzeń stała się domeną konfliktu. Państwa regularnie podejmują działania w tym obszarze i za ich pomocą starają się realizować swoje cele i interesy. Poza zdolnościami defensywnymi, które mają podnieść bezpieczeństwo, rozwijane są ofensywne możliwości, stanowiące podstawę do podejmowania bardziej stanowczych kroków.
Jednym z głównych aktorów, o których tak wiele się mówi, jeśli chodzi o agresywne operacje w cyberprzestrzeni, jest Rosja. Kreml od dłuższego czasu korzysta ze swojego cyberarsenału do prowadzenia polityki i osiągania zakładanych celów. Pokazuje to również wojna w Ukrainie, gdzie wirtualna domena jest regularnym polem bitwy, choć do tej pory nie doszło do żadnego incydentu o znaczeniu strategicznym).
Czytaj też
Hakerzy GRU. Podróże elementem gry
Moskwa rozbudowała swoje cyberstruktury. Posiada grupy hakerskie, prowadzące cyberoperacje w różnych częściach świata, nękając infrastrukturę podmiotów będących celem (np. Ukraina, Polska, USA). Czuwają nad nimi rosyjskie specsłużby, zapewniając wysokie standardy i dbając o poziom zaawansowania.
Hakerzy Putina prowadzą kampanie z różnych stron świata. Realizują operację zarówno z terenu Rosji (np. siedząc w specjalnych obiektach), jak i innych państw. „Służbowe podróże” są elementem „gry”. A to tylko sprawia, że faktyczna atrybucja cyberataków jest utrudniona i łatwo można dać się zmylić.
Przykładem jednej z tego typu grup może być „Unit 26165” (część „Fancy Bear”). To wojskowa cyberjednostka podległa GRU, której hakerzy działają zdalnie (z Rosji) lub są wysyłani do określonego kraju w celu realizacji misji. Dla potwierdzenia można przytoczyć rosyjską operację w Hadze.
Czytaj też
Na holenderskiej ziemi
Po próbie otrucia byłego oficera rosyjskiego wywiadu Siergieja Skripala i jego córki Julii za pomocą Nowiczoka (co miało miejsce w Wielkiej Brytanii), Kreml znalazł się pod szczególną uwagą społeczności międzynarodowej. Brytyjskie służby oskarżyły GRU o incydent.
W związku z przypadkiem Skripala, Organizacja ds. Zakazu Broni Chemicznej (OPCW), czuwająca nad przestrzeganiem postanowień Konwencji o zakazie broni chemicznej wszczęła specjalne dochodzenie w tej sprawie. W efekcie formalnie wprowadzono Nowiczoka na listę substancji zakazanych.
Podejrzenia co do GRU i kroki podjęte przez OPCW skłoniły Moskwę do sięgnięcia po cyberzdolności.
10 kwietnia 2018 r. czterech Rosjan wylądowało na lotnisku Schiphol w Amsterdamie. Mowa o Aleksieju Siergiejewiczu Morentsie i Jewgieniju Michajłowiczu Sotnikowie (cyberoperatorzy), a także Olegu Michajłowiczu Sotnikowie i Aleksieju Walerewiczu Mininie (wsparcie HUMINT).
Powitał ich przedstawiciel rosyjskiej ambasady w Hadze, trzymając w ręku dyplomatyczne paszporty. Obywatele kraju Putina, udając się do Holandii, mieli jasne zadanie.
Przez kilka dni Rosjanie krążyli wokół siedziby OPCW i za pomocą sprzętu elektronicznego (m.in. narzędzi do przechwytywania ruchu) „prześwietlali” budynek. Pozyskane materiały przesyłali następnie do Moskwy.
Z czasem holenderski wywiad zdemaskował wrogie działania. Podejrzewano, że hakerzy planowali włamać się do systemów Organizacji, aby za pomocą cyberdziałań zakłócić śledztwo w sprawie Skripala.
Departament Sprawiedliwości USA w akcie oskarżenia jednoznacznie uznał, że Morenets i Serebriakow to hakerzy „Unit 26165", podległej GRU.
Czytaj też
Rio de Janeiro? Lozanna? Nie ma problemu
Zdaniem Amerykanów, Morenets odbywał podróże w różne strony świata, aby na miejscu prowadzić cyberoperacje, których celem było np. utrzymanie stałego dostępu do sieci organizacji lub danej osoby. W „delegację” zabierał niezbędny do tego sprzęt.
W przypadku Serebriakow miało być podobnie. To nie jest jednak tak, że GRU wysyła swoich hakerów na miejsce za każdym razem. Taki krok podejmowany jest np. wtedy, gdy zdalna operacja nie powiodła się (z różnych względów).
Z dokumentacji sądowej USA wynika, że Morenets i Serebriakow odbyli podróż do m.in. Rio de Janeiro (Brazylia) oraz Lozanny (Szwajcaria) w 2016 roku. Wtedy ich zadaniem miało być włamanie się do sieci wifi osób, posiadających dostęp do Światowej Agencji Antydopingowej. Cel nie był przypadkowy – wybuchła wtedy afera dopingowa z udziałem rosyjskich sportowców.
Czytaj też
Wyciągnijmy wnioski
Według Atlantic Council opisane wyżej przykłady działalności GRU powinny stanowić podstawę do wyciągania wniosków dotyczących sposobu, w jaki rosyjscy hakerzy realizują operacje Kremla. Jednym z elementów są podróże w różne strony świata, aby prowadzić misję na miejscu.
Przede wszystkim państwa i ich służby nie mogą ograniczać swoich wysiłków na rzecz wykrywania i neutralizacji działalności rosyjskich grup tylko do domeny cyfrowej. Aktywność „Unit 26165" pokazuje, że „gra” toczy się nie tylko w cyberprzestrzeni, ale również w świecie fizycznym, gdzie osoby powiązane ze specsłużbami Kremla skutecznie przekraczają granice.
Należy także analizować motywacje i cele grupy, ponieważ to pozwoli zbudować lepsze mechanizmy ochrony i cyberbezpieczeństwa.
W omawianym przypadku widać, że zadaniem hakerów jest m.in. zakłócanie dochodzeń, postępowań, które z perspektywy Rosji są kompromitujące lub dotkliwe (np. sprawa Skripala czy afery dopingowej). Można więc wysnuć wniosek, że chodzi tu o dbanie o wizerunek Kremla i rządu. Równie ważne jest spojrzenie na kwestię dodatkowego wsparcia.
To nie jest tak, że przedstawiciele „Unit 26165” są wysyłani za granicę i zdani tylko na siebie. W realizacji misji uczestniczą także inne jednostki rosyjskich specsłużb (w przypadku OPCW udzielono wsparcia HUMINT), a także inne podmioty mogące pomóc w osiągnięciu celu (np. ambasady). W związku z tym, warto przyjąć podejście, że koordynacja między służbami Rosji jest większa niż nam się wydaje.
Pamiętać trzeba także, że cyberoperacje czy działania wywiadowcze o „dużej wrażliwości politycznej” są często nadzorowane bezpośrednio przez Kreml. To najwyższe organy władzy podejmują decyzję o rozpoczęciu kampanii.
Amerykanie za przykład podają operację wpływu wymierzoną w wybory w USA w 2016 roku. Tamtejszy wywiad nie miał wątpliwości, że wrogie działania zostały zaaprobowane przez osoby z najwyższych szczebli rosyjskiego rządu.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].