Grupa APT28 związana ze służbami wywiadowczymi Rosji rozsyłała szkodliwe oprogramowanie wymierzone w polskie instytucje rządowe.
Pierwszy element kampanii prowadzonej przez APT28 to wysyłka wiadomości e-mail. Jej treść wykorzystuje elementy socjotechniki, które mają wywołać zainteresowanie u odbiorcy i nakłonić go do kliknięcia w link. Link kieruje do adresu w domenie run.mocky.io – darmowego serwisu używanego przez programistów. Został on jednak wykorzystany tylko do przekierowania na kolejny serwis – webhook.site.
Stamtąd zostaje ostatecznie pobrane archiwum ZIP, którego nazwa sugeruje zawartość w postaci zdjęć, bo zaczyna się od skrótu „IMG”. Tak naprawdę archiwum zawiera trzy pliki. Gdy ofiara je uruchomi wykonywana jest seria skryptów, które mają na celu poznanie adresu IP urządzenia ofiary i listy plików. To pozwala autorom ataku ocenić, czy wybrany cel jest dla nich atrakcyjny. Jeśli tak, mają oni możliwość wykonania na komputerze ofiary dowolnych działań.
CERT Polska zaleca, by administratorzy sieci w organizacjach zweryfikowali, czy pracownicy nie padli w ostatnich dniach ofiarą takiego ataku.
Przypominamy wywiad z dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni generałem dywizji Karolem Molendą, który opowiada m.in. o grupach APT.
– Często przeciwnik błędnie myśli, że jest w naszej infrastrukturze i przełamał zabezpieczenia, a my go po cichu obserwujemy, poznajemy jego narzędzia i metody – mówi generał dywizji Karol Molenda, dowódca Komponentu Wojsk Obrony Cyberprzestrzeni.
„Newsweek”: Dlaczego w siedzibie Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni wszystko jest tajne?
Gen. Karol Molenda: Nie wszystko jest tajne, dzielimy się informacjami z opinią publiczną. Ja, przez lata oficer kontrwywiadu, który nie posiadał żadnego konta w mediach społecznościowych, musiałem wyjść z cienia i pozakładać konta, żeby pokazać, że realizujemy bardzo istotne zadania.
Jakie?
– Trwa cyfrowa transformacja świata, ciężko odróżnić nasze życie online od tego offline. Zakładamy, że technologia jest po to, żeby nas wspierać, jednak zapominamy, że niesie także szereg zagrożeń dla użytkowników, ale też dla kraju, a nawet międzynarodowych sojuszy. Dlatego już w 2016 r. na szczycie NATO w Warszawie uznano cyberprzestrzeń za kolejną domenę operacyjną.
Co to znaczy?
– Że jest przestrzenią, której należy bronić tak samo, jak lądu, powietrza, morza czy kosmosu. Cyberprzestrzeń jest o tyle wyjątkowa, że to my wszyscy ją tworzymy, a jej parametry ciągle się zmieniają. Jej obrona jest wyjątkowo skomplikowanym zadaniem i dlatego w 2019 r. powstało Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni, które w 2022 r. przeformowano w Wojska Obrony Cyberprzestrzeni.
Czym konkretnie się zajmujecie?
– Odpowiadamy w resorcie obrony narodowej za obszary związane z kryptologią, dostarczamy usługi teleinformatyczne całym Siłom Zbrojnym, czyli utrzymujemy sieci oraz systemy jawne i niejawne. Odpowiadamy także za bezpieczeństwo strategicznych systemów przetwarzających wrażliwe dane. Odkąd wybuchła wojna w Ukrainie, jesteśmy ciągle atakowani przez grupy APT.
Co to za grupy?
– W przeciwieństwie do zwykłych cyberprzestępców, którzy dokonują ataku, by ukraść pieniądze albo wymusić zapłacenie okupu za przywrócenie dostępu do systemu, grupy APT dostają konkretne zadania, np. mają pozyskać dane dotyczące bezpieczeństwa lub obronności państwa. Albo uzyskać dostęp do infrastruktury krytycznej, by ją sparaliżować.
To prawda, że w ostatnim czasie liczba ataków na Polskę gwałtownie wzrosła?
– Tak, na przełomie stycznia i lutego tego roku byliśmy najbardziej atakowanym krajem na świecie. Chodziło głównie o atak typu DDoS, czyli distributed denial of service, rozproszona odmowa usługi. To atak na system komputerowy, który ma uniemożliwić jego działanie poprzez zajęcie wszystkich wolnych zasobów. Można to opisać jako wyczerpanie mocy obliczeniowej czy pamięci serwerów tak, żeby nie były w stanie odpowiadać. To, że opinia publiczna nie odczuwała skutków tych ataków, było zasługą ekspertów od cyberbezpieczeństwa w wojsku, w rządzie, a przede wszystkim u dostawców usług cyfrowych. Nasi eksperci należą do światowej pierwszej ligi, bo znacznie mniejsze ataki na inne kraje powodowały, że nie było tam dostępu do bankomatów czy rządowych stron internetowych.
A inne rodzaje ataków?
– Systemy wojskowe są poddawane różnym próbom ataków, np. poprzez skanowanie naszej infrastruktury w poszukiwaniu miejsc podatnych na złośliwe oprogramowanie. Dość powszechne są też ataki socjotechniczne, takie jak phishing, by wyciągnąć wrażliwe dane. Robimy jednak wszystko, żeby poznać techniki wykorzystywane przez grupy, które prowadzą przeciwko nam operacje. Nasze najbardziej wrażliwe systemy, przetwarzające informacje niejawne, mają zabezpieczenia na najwyższym poziomie i są odseparowane od internetu. Najbardziej narażone są systemy i usługi połączone ze światem zewnętrznym, np. skrzynki e-mailowe, które komunikują się z innymi resortami czy instytucjami. To nie lada wyzwanie zapewnić im odpowiedni poziom odporności na zagrożenia, ale jesteśmy skuteczni.
Patologia Collegium Humanum
Foto: Materiały własne
Kto jest tak głupi, żeby atakować pracowników wojska?
– To są celowe działania grup sponsorowanych przez rządy krajów nie do końca nam przychylnych. Często są związane z Federacją Rosyjską i sponsorowane przez FSB czy GRU. Dostały np. takie polecenie: wejdź do systemów wojskowych, wyciągnij informacje na temat donacji, jakie przekazywane są na Ukrainę. Zwykli cyberprzestępcy zazwyczaj chcą osiągnąć finansowe korzyści łatwym kosztem, więc jeżeli pani zabezpieczy komputer lepiej niż sąsiadka, to nie będą tracili czasu u pani, bo szybciej poradzą sobie z komputerem sąsiadki. Ale grupy APT nie poddają się łatwo. Mają zadanie i jeśli nie udaje im się go zrealizować dzisiaj, to na pewno spróbują jutro – i tak do skutku.
Jak z nimi walczycie?
– Próbujemy im utrudniać życie, wprowadzając takie rozwiązania, by koszt ataku był całkowicie nieopłacalny. To nie znaczy, że niemożliwy, bo jedynym stuprocentowo skutecznym rozwiązaniem jest wyłączenie urządzeń z prądu. Ataki socjotechniczne w połączeniu z nieświadomymi użytkownikami powodują, że zawsze ktoś kliknie w podejrzany link, umożliwi zainfekowanie komputera, poda jakieś dane, więc musimy mieć mechanizmy, które pozwolą to uniemożliwić lub zminimalizować straty.
Jakie mechanizmy?
– Tymi informacjami się nie dzielimy. Natomiast cały czas uczymy się przeciwnika. Trzeba znać go lepiej, niż on zna siebie.
Podstępni jesteście.
– Staramy się grać w cyberbezpieczeństwo i mówię to z dumą, bo umiemy bronić swojej sieci. Często przeciwnik błędnie myśli, że jest w naszej infrastrukturze i przełamał zabezpieczenia, a my go po cichu obserwujemy, poznajemy jego narzędzia i metody. Dzięki temu możemy wdrożyć rozwiązania, które sprawią, że się do nas nie dobije. To jest wojna intelektów.
Jak wygląda wasza codzienna praca? Siedzicie w ciemnym pomieszczeniu, przed wami ściana monitorów, tutaj coś błyska, tam pika?
– Nie ukrywam, że my, inżynierowie, lubimy usiąść sobie w bluzie z kapturem w półmroku i wykonywać pracę przy dobrej muzyce. Ale nasze sale operacyjne nie są ciemnymi piwnicami, tylko przestronnymi pomieszczeniami, w których jest pełno monitorów i danych. Pracują tam głównie młodzi ludzie, w trybie 24 godziny na dobę przez siedem dni w tygodniu. To oni są pierwszą linią obrony, gdyby coś poważnego się działo, to mamy kolejną linię, w której są bardziej doświadczone osoby. Na trzeciej linii pracują już eksperci.
Jak w filmach.
– To jest magia. Z podziwem wchodzę do tych sal, w których pracują inżynierowie. Taką mam wizję: zatrudniać osoby, które są lepsze ode mnie. Muszę im zapewnić warunki do pracy, rozwoju, do bycia kreatywnym. W naszych działaniach najważniejszy jest intelekt, to podstawa naszej siły. Kreatywność, wiedza, bycie o krok przed przeciwnikiem.
Szuka pan do pracy hakerów?
– Nie, z kilku powodów. Po pierwsze, potrzebuję misjonarzy, a nie najemników. Poza tym każdy z zatrudnionych żołnierzy i pracowników posiada poświadczenie bezpieczeństwa, to znaczy, że służba specjalna go prześwietliła i potwierdziła, że daje rękojmię zachowania tajemnicy. Ktoś, kto popełnił jakieś przestępstwo czy wykroczenie, mógłby nie dostać takiego certyfikatu. Ale to nie zmienia faktu, że nasi pracownicy myślą jak hakerzy. Często podkreślam, że aby wiedzieć, jak się bronić, trzeba wiedzieć, jak atakować. I są u nas osoby, które mają takie umysły. To tzw. hakerzy w białych kapeluszach, którzy działają etycznie, w odróżnieniu od tych w czarnych kapeluszach. Myśląc o bezpieczeństwie naszych systemów, zastanawiam się: jak ja bym je zaatakował, gdybym był przeciwnikiem? W ten sposób sprawdzamy, gdzie są słabe miejsca w naszych rozwiązaniach.
Jak to sprawdzacie?
– Na przykład, próbując wejść do systemów, żeby zobaczyć, co się stanie. Zrobiliśmy szereg testów z wykorzystaniem socjotechniki, m.in. przekonywanie użytkownika naszego systemu, by zrobił coś, czego nie powinien robić. Z doświadczenia szkoleniowego wiem, że nic nie wbija się tak dobrze w pamięć, jak to, że było się słabym ogniwem. Jeżeli mówimy: są ataki, nie klikajcie w nieznane linki, to większość użytkowników uważa, że ich to nie dotyczy. Człowiek jest najczęstszym celem cyberprzestępców, a zarazem najsłabszym ogniwem w systemie bezpieczeństwa. Dlatego tak istotna jest edukacja i budowanie właściwych nawyków.
Myślicie o swojej pracy jako walce dobra ze złem?
– Na pewno mamy poczucie misji. Jestem dumny, że udało nam się zbudować coś wyjątkowego. Członkowie mojego zespołu to piękne ptaki, które ciężko byłoby zamknąć w klatce. Wysłałem starszych oficerów na kurs z psychologami, by nauczyli się, jak zarządzać zespołami. Staram się odchodzić od typowego dla wojska systemu hierarchiczności, który zakłada, że najstarszy stopniem jest najmądrzejszy i nie można z nim polemizować.
A można?
– Oczywiście przełożony musi podjąć decyzję, bo ponosi odpowiedzialność, ale zanim ją podejmie, powinien wysłuchać wszystkich obecnych na sali. Dla inżyniera, zwłaszcza w wojsku, który myśli, że wszystko wie i zrobi lepiej, to trudne zadanie. Ale jestem przekonany, że udało nam się stworzyć zespoły, w których każdy wie, że zostanie wysłuchany.
Nie obawia się pan, że któregoś z tych specjalistów skusi duża kasa od przeciwnika?
– Jeżeli chodzi o przeciwnika, to jestem przekonany, że nie. Dużą kasą kuszą big techy, ale myślę, że każdy członek mojego zespołu ma poczucie misji. Nie mogę pani zabrać na salę operacyjną, ale gdyby pani tam weszła, toby pani poczuła, że ci ludzie wiedzą, że są elementem czegoś większego i że robią to dla naszego kraju. W korporacji człowiek ma wrażenie, że jest elementem machiny, która ma przynosić zyski. A tutaj jest częścią zespołu, w którym pieniądze nie są najważniejsze. Co więcej, my inwestujemy w talent, w szkolenie, doskonalenie umiejętności. W firmach komercyjnych jest to traktowane jako wydatek.
Były osoby, które odeszły do korporacji za dobre pieniądze, a po roku, dwóch wróciły, bo im brakowało poczucia misji, tego, że działamy jako zespół. Zresztą my płacimy całkiem nieźle za ich wiedzę.
Jaki był najpoważniejszy atak, który udało wam się udaremnić?
– Było wiele ataków typu zero day exploit, czyli ukryta słabość w systemie komputerowym. Jeden z nich dotyczył skrzynki pocztowej Outlook Microsoftu: zaobserwowaliśmy wykorzystywanie techniki polegającej na modyfikacji uprawnień do folderów skrzynki, która umożliwia przeciwnikowi nieuprawniony dostęp do korespondencji. Udało nam się udaremnić ten atak, bo mamy wielopoziomowe zabezpieczenia i nieprzyjaciel nie wiedział o pewnych rozwiązaniach, które go wykryły i zatrzymały. Jestem jednak przekonany, że atak powiódł się w wielu miejscach w Polsce i na świecie. Microsoft poinformował potem o tym zagrożeniu i opracował łatę bezpieczeństwa. Ale nie powiedział, co zrobić, żeby wykryć, czy było się zaatakowanym, a po drugie – jak posprzątać? Więc moi inżynierowie zbudowali narzędzia, które pozwalają to sprawdzić i naprawić. Można je pobrać na naszej stronie internetowej.
Takie informacje nie są tajne?
– Jak się coś dawniej działo, to wojsko czy służby specjalne uważały, że nie należy o tym mówić. My to zmieniliśmy, ujawniamy taktykę, którą wykorzystuje przeciwnik. Chodzi o to, by opinia publiczna, ale przede wszystkim inżynierowie, którzy odpowiadają za cyberbezpieczeństwo, mogli się z tym zapoznać i zabezpieczyć swoją infrastrukturę. Żeby przeciwnika zabolało ujawnienie jego metod, żeby musiał odbudować całą infrastrukturę, jaką wykorzystywał do przeprowadzenia ataku.
Nie boi się pan, że sam może się stać celem ataku?
– Świadomość zagrożenia nie powinna nas paraliżować. Było wiele kampanii psychologicznych wymierzonych we mnie i moich bliskich, a nawet groźby śmierci. Byłem przez ponad 13 lat oficerem Służby Kontrwywiadu Wojskowego, moja skóra jest odpowiednio gruba, więc po prostu wykonuję swoją pracę. Mam pewne zasady, które pozwalają mi się czuć bezpiecznie, ale o tym publicznie nie będę mówił.
Jednak tajne.
– Chodzi o to, żeby nie ułatwiać życia przeciwnikowi. Każdy z nas, zakładając mundur, składa też deklarację. Przysięga wojskowa jest niezmienna: „Za sprawę mojej Ojczyzny w potrzebie krwi własnej ani życia nie szczędzić”. Teraz kiedy wojna jest tuż za naszą granicą, te słowa nabierają innego znaczenia niż 20 czy 30 lat temu. Więc tym bardziej należy się szacunek osobom w mundurach, one wiedzą, że ta wojna nie jest już tylko hipotetyczna.
