Polski rząd i wojsko celem rosyjskiego wywiadu. Raport CSIRT GOV

Z opublikowanego przez CSIRT GOV raportu „O stanie bezpieczeństwa cyberprzestrzeni RP w 2024 r.” wynika, że jednym z głównych zagrożeń dla Polski w ubiegłym roku była działalność grup typu Advanced Persistent Threat (APT).

To zespoły wspierane i zadaniowane w dużej mierze przez obce państwa, które wykorzystują je do np. pozyskiwania informacji z sieci systemów teleinformatycznych państw-celów oraz prowadzenia działań destrukcyjnych. 

Zagrożenia płynące z działalności tych grup charakteryzują się zwykle wysokim poziomem technicznym i stopniem zaawansowania działań. Ich zasadniczą cechą jest pozostawanie w ukryciu, przy jednoczesnym zapewnieniu dostępu do skompromitowanej infrastruktury. 

Wśród grup wspieranych przez Rosję szczególną aktywnością wykazywały się w ubiegłym roku grupy APT 28 oraz APT 29. Specjaliści CSIRT GOV przeanalizowali również działalność wschodniej grupy UNC1151, która jest często łączona także z Białorusią.

APT 28 atakuje administracje rządową

Grupa APT28, znana również pod nazwami Fancy Bear, jest powszechnie kojarzona z rosyjskim Głównym Zarządem Wywiadowczym Sztabu Generalnego (GRU). Do jej zadań należy przede wszystkim prowadzenie operacji szpiegowskich, a wśród celów znajdują się głównie instytucje rządowe, wojskowe, organizacje międzynarodowe oraz strategiczne sektory gospodarki. 

Raport CSIRT GOV za rok 2024 wskazuje, że Fancy Bear była dominującym aktorem wśród grup APT aktywnych w polskiej cyberprzestrzeni. W analizowanym okresie jej działania kierunkowała przede wszystkim na administrację rządową oraz sektor energetyczny i transportowy w Polsce.

Jej aktywność charakteryzowała się wykorzystaniem zaawansowanych i wieloetapowych technik, mających na celu zarówno pozyskanie danych uwierzytelniających, jak i instalację złośliwego oprogramowania oraz zapewnienie trwałego dostępu do systemów ofiar. 

Grupa  prowadziła także kampanie dystrybuujące złośliwe oprogramowanie HEADLACE, stosując różne motywy socjotechniczne (np. wiadomości e-mail oferujące sprzedaż samochodu z floty dyplomatycznej).

Kampanie phishingowe oraz ataki bruteforce

Stałą aktywnością APT28 były kampanie phishingowe podszywające się pod administratorów poczty, nakłaniające użytkowników do podania swoich danych logowania w fałszywych panelach Outlook Web Access (OWA). W 2024 roku odnotowano kilka odsłon tego typu działań wymierzonych w administrację rządową, wykorzystujących panele zmiany hasła w języku polskim i angielskim, a także mające na celu rzekome zwiększenie rozmiaru skrzynki e-mail. 

Grupa prowadziła też bruteforce na konta poczty elektronicznej oraz usługi VPN. W celu ukrycia tych prób, aktorzy wykorzystywali sieci anonimizujące oraz tzw. residential proxies, czyli skompromitowane urządzenia sieciowe należące do prywatnych użytkowników lub małych firm, często o geolokalizacji wskazującej na ten sam kraj co ofiara.

Kampania spearphishingowa grupy APT29

Raport CSIRT GOV odnotował także kampanię spearphishingową z października 2024 roku, którą analitycy firm Amazon oraz Microsoft przypisali do APT29, czyniąc to jednak z pewną ostrożnością, co odzwierciedla złożoność procesu atrybucji w cyberprzestrzeni. 

Grupa APT29, znana również jako Cozy Bear, łączona jest często z rosyjską Służbą Wywiadu Zagranicznego (SVR). Jej działania koncentrują się na długoterminowym gromadzeniu informacji wywiadowczych, a głównymi celami są podmioty dyplomatyczne, rządowe, think-tanki oraz organizacje badawcze.

Wskazana w raporcie kampania była wymierzona w podmioty administracji rządowej i wojska. Jako motyw przewodni wykorzystano kwestie bezpieczeństwa związane z wdrażaniem architektury Zero Trust. Nietypowym elementem tej kampanii było użycie kilku nadawców, w tym takich, którzy wskazywali na pochodzenie z samej atakowanej instytucji. 

Atakujący podszywali się pod firmę Amazon - w polu „Od” wiadomości umieszczono adres wskazujący na pracownika tej firmy, a także adresy osób należących do atakowanej instytucji. W rzeczywistości wiadomości były wysyłane z wykorzystaniem przejętego dostępu do poczty elektronicznej zagranicznych firm. 

Taka strategiczna impersonacja, łącząca znaną markę technologiczną z aktualnym tematem cyberbezpieczeństwa (Zero Trust) oraz pozornie wewnętrznymi nadawcami, świadczy o wysokim poziomie zaawansowania inżynierii społecznej, obliczonej na maksymalizację wiarygodności.

Działalność grupy UNC1151 przeciwko Polsce

Grupa UNC1151, często kojarzona z działaniami prowadzonymi z terytorium Białorusi i łączona z kampaniami dezinformacyjnymi znanymi pod kryptonimem „Ghostwriter”, koncentruje swoją aktywność na prowadzeniu operacji informacyjnych. 

Kluczowym elementem jej modus operandi jest wykorzystywanie informacji pozyskanych w wyniku kradzieży poświadczeń do skrzynek poczty elektronicznej. Działalność UNC1151 wyraźnie ilustruje bezpośrednie przełożenie technik cyberprzestępczych, takich jak phishing, na realizację strategicznych celów państwowych, w tym przypadku dezinformacji.

W 2024 roku, podobnie jak w latach ubiegłych, UNC1151 kontynuowała kampanie phishingowe wymierzone w użytkowników popularnych polskich dostawców poczty elektronicznej (takich jak Interia, Onet, Wirtualna Polska, o2) oraz zagranicznych (np. Gmail). Atakujący wysyłali wiadomości e-mail, w których podszywali się pod administratorów systemów pocztowych, nakłaniając użytkowników do zalogowania się poprzez fałszywy panel logowania w celu rzekomej „reautoryzacji” lub „walidacji” konta.

Konsekwentne celowanie w powszechnie używane publiczne serwisy e-mail sugeruje próbę pozyskania danych uwierzytelniających od szerokiego spektrum osób, potencjalnie obejmującego również te zajmujące wpływowe stanowiska lub osoby z ich otoczenia, co może dostarczyć cennego materiału do operacji informacyjnych.

Dystrybucja złośliwego oprogramowania

Drugim rodzajem aktywności UNC1151 w 2024 roku była dystrybucja złośliwego oprogramowania za pośrednictwem wiadomości spearphishingowych, co stanowiło kontynuację taktyk obserwowanych również w 2023 roku. 

W tych kampaniach jako motywy przewodnie wykorzystywano głównie tematykę faktur oraz kontroli BHP. Typowa wiadomość e-mail w ramach takiej kampanii zawierała załączone archiwum ZIP lub RAR, w którym znajdował się plik pomocy systemu Windows o rozszerzeniu.

Rosnące zagrożenie dla Polski

Analiza działalności grup APT28, APT29 oraz UNC1151, przedstawiona w raporcie CSIRT GOV 2024, ujawnia szereg wspólnych taktyk, technik i procedur (TTPs), które składają się na obraz złożonego i wielowymiarowego zagrożenia dla Polski.

Kluczowe, powtarzające się elementy w modus operandi tych grup to przede wszystkim zaawansowana inżynieria społeczna. Atakujący starannie przygotowują kampanie spearphishingowe, wykorzystując przynęty dopasowane do profilu ofiary lub aktualnych wydarzeń, np. tematy geopolityczne, oficjalna korespondencja, rzekome problemy techniczne czy oferty handlowe.

Połączone działania tych grup sugerują istnienie wieloaspektowej rosyjskiej strategii oddziaływania wymierzonej w Polskę. Obejmuje ona zarówno bezpośrednie działania szpiegowskie (APT28, APT29), jak i operacje wpływu oraz dezinformację (UNC1151). 

Nie są to odosobnione wysiłki, lecz prawdopodobnie skoordynowane elementy szerszej doktryny wojny hybrydowej. Atakujący wykazują się przy tym dużą pomysłowością w wykorzystywaniu słabych punktów na styku technologii, ludzkich zachowań i procedur.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].