GRU do zadań specjalnych, czyli jak Rosja miesza w Polsce

O rosyjskich hakerach zrobiło się jeszcze głośniej od rozpoczęcia pełnoskalowej inwazji na Ukrainę w 2022 roku. Członkowie grup podległych Kremlowi obierają za cel różne podmioty, licząc na m.in. przejęcie wielu wrażliwych danych. 

Na łamach CyberDefence24 w ostatnim czasie informowaliśmy m.in. o operacjach wymierzonych w infrastrukturę krytyczną, jak np. oczyszczalnie ścieków czy szpitale. Rosjanie wspólnie z Białorusinami mieli również stać za operacją wymierzoną w działaczy Platformy Obywatelskiej.

Grupa hakerska działająca w GRU

Okazuje się jednak, że prawda o działaniach Moskwy i powiązanych z nią hakerów może wyjść na jaw nawet po wielu latach. Według ustaleń portalu The Insider, znana m.in. ze sprawy Sergieja Skripala Jednostka 29155 rosyjskiego GRU posiada sześcioosobową grupę hakerów.

Przez kilkanaście lat Rosjanom udawało się ukrywać powiązania zespołu z wywiadem. Dopiero w sierpniu 2024 roku Departament Sprawiedliwości USA wskazał, dla kogo konkretnie pracowali jego członkowie i co obejmowały ich działania. Na czele zespołu stał niejaki Timur Stigal, oficjalnie znany jako Timur Magomedow.

Nietrudno się domyślić, że Polska trafiła na listę celów hakerów podległych GRU. Na jesieni 2022 roku, udało im się dostać do komputerów „powiązanych z branżą transportową”, co miało duże znaczenie w kontekście wsparcia przewożonego na Ukrainę. Ustalenia The Insider ujawniają jednak, że takich działań było znacznie więcej.

Zantagonizować Polskę z sąsiadami

Na początku lipca 2016 roku grupa Stigala postanowiła wykorzystać napięcia między Polakami i Ukraińcami. Podszywając się pod prawicowy Prawy Sektor na Twitterze (obecnie X), opublikowali dane wykradzione z firmy Netia oraz informacje medyczne o polskich żołnierzach. Skierowali również swój przekaz do ówczesnych władz.

Chcecie Lwowa? Ssać naszą penisa! Uzyskaj Wołyń!
Hakerzy z Jednostki 29155 podszywający się pod Prawy Sektor w 2016 roku (pisownia oryginalna)

Działanie odniosło oczekiwany skutek – posty rzekomo opublikowane przez Ukraińców zostały skrytykowane przez polskich polityków. Wówczas Stigal postanowił zmienić taktykę. Jego zespół utworzył na Twitterze kolejne konto, tym razem podszywające się pod Anonymous Poland – nieistniejące skrzydło międzynarodowej grupy hacktywistów. Zamieszczane na nim treści krytykowały Ukraińców i mówiły o rzekomym ataku hakerskim na Prawy Sektor.

Co istotne, wszystko miało miejsce przed szczytem NATO w Warszawie, który zaczął się 8 lipca. Według słów anonimowego członka polskich służb dla The Insider, ówcześnie podjęte działania przez państwo okazały się kompletną katastrofą.

„Sprawa trafiła na Policję i do Prokuratury, ale te nic nie zrobiły. Sprawców nie ustalono” – miał dodać.

To nie Anonymous, to Rosjanie

Rzekome polskie skrzydło Anonymous zostało ponownie wykorzystane przez zespół Stigala w 2017 roku. Wówczas na profilu pojawiły się linki do danych wykradzionych z litewskich banków, obejmujące m.in. karty kredytowe razem z kodami PIN. W poście atak przypisano jednak Bellingcat, czyli… zespołowi dziennikarzy śledczych.

Historia powtórzyła się jakiś czas później, gdy profil Anonymous Poland opublikował dane i zdjęcia dzieci ukraińskich żołnierzy walczących w Donbasie. Jako rzekomych sprawców wskazano ponownie Bellingcat. Sama organizacja zgłaszała sprawę Twitterowi, jednak administracja stwierdziła, że konto nie naruszało zasad.

Rzekome polskie konta prowadzone przez hakerów podległych GRU były jeszcze aktywne przez kilka lat. Powodowały zamieszanie nie tylko w regionie Europy Środkowej. Dwa miesiące po sytuacji z podszywaniem się pod Prawy Sektor, na jednym z profili ukazały się pliki m.in. policji Detroit, dokumenty amerykańskiego lotnictwa czy dotyczące testów antydopingowych.

Rekrutują do działań sabotażowych

Działalność rosyjskich hakerów wymierzona w Polskę nie skończyła się na wspomnianych incydentach czy uzyskaniu dostępu do systemów transportowych. Metody opracowane przez Stigala i podległych mu ludzi wciąż są wykorzystywane przez Jednostkę 29155. W przypadku naszego kraju jest to rekrutacja do i koordynacja działań sabotażowych.

„Oferują im zapłatę w kryptowalutach za podpalenie strategicznych miejsc, takich jak instalacje wojskowe lub zakłady zbrojeniowe, lub łagodniejszych celów, takich jak magazyny, centra handlowe lub zajezdnie autobusowe” – wskazuje The Insider.

Ustalenia The Insidera pokrywają się z wypowiedziami wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego. W połowie kwietnia informował, że Rosjanie kierują oferty werbunkowe do wszystkich mieszkańców Polski, nie tylko obywateli, oferując im „kilka tysięcy euro”.

Hakerzy nieustannie poszukują również podatności na portalach rządowych oraz w infrastrukturze krytycznej. Nasz kraj nie jest jedyny – lista celów Jednostki ma obejmować w sumie ok. 100 pozycji z Europy i Azji. Nie zanosi się na to, aby intensywność ich działań miała zmaleć.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].