Nowe szczegóły cyberataku na Akademię Sztuki Wojennej. Co wiemy? [TYLKO U NAS]

10 lipca, tj. tuż przed szczytem NATO w Wilnie, Akademia Sztuki Wojennej (AszWoj) została zaatakowana przez grupę CyberTriad – informuje w czwartek na swoich łamach Onet. Miała ona zaszyfrować komputery należące do uczelni, a hakerzy – wykraść dane wrażliwe.

„Do dziś skutki ataku nie zostały usunięte, a pracownicy akademii nie mają dostępu do swoich komputerów i służbowej poczty” - stwierdził w swoim tekście serwis .

Jak wyglądał cyberatak na AszWoj?

Rzeczywiście w serwisie Twitter (choć formalnie to już X po zmianach wprowadzonych przez Elona Muska – red.) konto liczące zaledwie kilkadziesiąt obserwujących @CyberTriadHT (podobnie w serwisie Telegram) napisało 11 lipca br.: „Znaleźliśmy wiele interesujących rzeczy w sieciach Akademii Sztuki Wojennej. Najważniejsza uczelnia wojskowa w Polsce przygotowuje żołnierzy do śmierci w czasie III wojny światowej. Obudźcie się!” - napisali hakerzy na swoim koncie.

Na dowód tego zamieścili zrzut ekranu z jednej z prezentacji oznaczonej oficjalnym logo AszWoj, a także fragment listy „zespołów ćwiczących” wraz z nazwiskami i stanowiskami.

Celem ataku padła też w tym samym czasie: Telewizja Kablowa Chopin, Radio NordaFM, Telewizja TTM z województwa pomorskiego oraz ZETO Lublin (Zakład Elektronicznej Techniki Obliczeniowej ZETO), czym nie omieszkali się pochwalić cyberprzestępcy. Wcześniej na swoim koncie mieli także inne, mniejsze lub większe ataki na państwa NATO, polegające m.in. na zatrzymaniu działania stron internetowych określonych instytucji za pomocą DDoS (atak typu rozproszona odmowa usługi).

To, że grupa jest jawnie prorosyjska oraz prawdopodobnie powiązana z Chinami można wywnioskować między innymi na podstawie takich wpisów: „Polska powinna przestać popychać NATO w stronę konfliktu z Rosją i Chinami”.

Rzecznik prasowy uczelni płk Mariusz Młynarczyk potwierdził w odpowiedzi dla Onetu, że atak miał miejsce 11 lipca br. i że „dotknął niektórych komputerów”, choć rozmówcy serwisu twierdzą, że całą sieć. Uczelnia miała poinformować o tym incydencie CSIRT MON (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) oraz inne służby, w tym UODO; reagować miał również Mazowiecki Oddział Żandarmerii Wojskowej.

Aktualizacja: Otrzymaliśmy także stanowisko Akademii Sztuki Wojennej, całość opublikujemy w kolejnym tekście w piątek.

Działania cyberwojsk

Dodatkowo sprawą miało zająć się Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni. Ppłk Przemysław Lipczyński, rzecznik cyberwojsk poinformował, że atak dotyczył „akademickiej części autonomicznej sieci ASzWoj, która nie jest elementem sieci operacyjnie wykorzystywanych przez Siły Zbrojne RP”, a po otrzymaniu zgłoszenia zespół CSIRT MON „prowadził koordynację obsługi incydentu przez personel IT Akademii Sztuki Wojennej. Pomógł w ustaleniu rozmiaru incydentu oraz wydał zalecenie doraźne, które ograniczyło skutki ataku" – czytamy.

Zespół cyberwojsk w tym samym dniu miał też udzielić wsparcia administratorom i zabezpieczyć materiał do badań na temat tego incydentu.

Poprosiliśmy również DKWOC o komentarz do sprawy. Ppłk Przemysław Lipczyński, rzecznik cyberwojsk w nadesłanej CyberDefence24.pl odpowiedzi szczegółowo tłumaczy, że celem ataku nie były systemy i sieci teleinformatyczne organizowane, utrzymywane i monitorowane przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni.

"W przedmiotowej sprawie atakujący skoncentrowali się na wewnętrznym systemie Akademii Sztuki Wojennej. Zaatakowana została akademicka część autonomicznej sieci ASzWoj, która nie jest elementem sieci operacyjnie wykorzystywanych przez Siły Zbrojne RP. Po otrzymaniu zgłoszenia, działający w strukturze Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni zespół CSIRT MON (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) prowadził koordynację obsługi incydentu przez personel IT Akademii Sztuki Wojennej. W ramach przedmiotowej koordynacji CSIRT MON pomógł w ustaleniu rozmiaru incydentu oraz wydał zalecenia doraźne, które ograniczyły skutki ataku" - podkreśla rzecznik.

Jak opisuje, po godzinie od otrzymania zgłoszenia do Akademii przybył Zespół Zadaniowy, złożony ze specjalistów DKWOC, który wspólnie z funkcjonariuszami Służby Kontrwywiadu Woskowego udzielił wsparcia administratorom lokalnym i zabezpieczył materiał do badań. W wyniku ataku zainfekowanych miało zostać kilka procent komputerów pracujących w jawnej sieci akademickiej - zaznaczają cyberwojska.

Krytyczna rola zewnętrznego podmiotu

Jak dodaje DKWOC, po otrzymaniu informacji o ataku, WOC udzieliły niezbędnego wsparcia w zakresie obsługi incydentu, a także analizy taktyk, technik i procedur działania grupy przestępczej. Pierwsze ustalenia dotyczące atakujących uzyskano jeszcze tego samego dnia.

"W wyniku analizy ustalono wektor i przebieg ataku. Ustalenia incydentu wskazują, że krytyczną rolę w wektorze ataku miał zewnętrzny podmiot świadczący usługi dla Akademii Sztuki Wojennej. Pragniemy także podkreślić, że cyberbezpieczeństwo jest grą zespołową, dlatego też każdy użytkownik sieci musi pamiętać, że jest nieodzownym elementem systemu cyberbezpieczeństwa" - mówi nam ppłk Przemysław Lipczyński.

Jak wynika z naszych informacji, do ataku wykorzystano oprogramowanie typu wiper, które służy do infekowania struktur i niszczenia danych.

Kolejny atak na Akademię Sztuki Wojennej

Przypomnijmy, że AszWoj padła już ofiarą ataku – tyle, że dezinformacyjnego – w 2020 roku. Wykorzystano do niego spreparowany list rektora-komendanta Ryszarda Parafinowicza, który zamieszono na stronie uczelni. Całą operację opisywaliśmy na łamach CyberDefence24.pl między innymi w tym materiale .

Tekst będzie na bieżąco aktualizowany

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].