Dlaczego Jarosław Kaczyński w galerii handlowej obiecywał „darmowe pogrzeby emerytów”?

Jesteśmy w stanie zimnej cyberwojny z Rosją – ogłasza wicepremier i minister cyfryzacji Krzysztof Gawkowski. Ataki ze strony rosyjskiej są wzmożone jak nigdy wcześniej.

Takie słowa Gawkowski wypowiedział podczas konferencji SECURE 2024. Jak wyjaśnił, liczba incydentów cyberbezpieczeństwa w Polsce rośnie. – I to skokowo, w roku 2022 było to 40 tys. incydentów, w 2023 – 80 tys. incydentów. Po pierwszym kwartale 2024 r. wiadomo, że będzie ich jeszcze więcej. Państwo musi wziąć odpowiedzialność za cyberbezpieczeństwo. Rośnie skala ataków ze strony Rosji, Białorusi i ich państw sojuszniczych, które nie oszczędzają Europy, w tym Polski – przyznał minister cyfryzacji i dodał, że musimy jasno sobie powiedzieć, że toczymy frontową walkę. – Podczas wojny, która toczy się w Ukrainie, musimy powiedzieć wyraźnie: Polska jest zagrożona i narażona na różne ataki hybrydowe, najbardziej na ataki w sferze cybernetycznej. To element zimnej wojny cybernetycznej, w której jesteśmy.

Konferencja zbiegła się w czasie z opublikowaniem przez wicepremiera rocznego raportu o cyberbezpieczeństwie Polski. Nie jest zaskoczeniem fakt, że w naszej sieci są prowadzone wrogie działania. To nie tylko rosyjska dezinformacja i fake news rozprzestrzeniane przez armię trolli Putina. To także bardziej skomplikowane, informatyczne działania.

Obce służby

Ataki hakerskie na polskie firmy, instytucje, systemy to nie tylko zakres działalności przestępców. Jak wylicza w raporcie Gawkowski to też efekt działania grup APT „powiązanych ze służbami państw-adwersarzy”.

– W szczególności to ostatnie zagrożenie ma szczególny wymiar wobec trwającej wojny Rosji z Ukrainą, w której Polska pełni rolę hubu wsparcia dla Ukrainy oraz sama udziela wielkoskalowej pomocy, jak również działań hybrydowych ze strony Rosji, Białorusi i innych aktorów wymierzonych w Zachód, w tym w Polskę – stwierdza wprost.

APT (Advanced Persistent Threat) to specjalne jednostki, które specjalizują się w atakach sieciowych. Często są to grupy wspierane przez rządy a ich zadaniem jest destabilizacja infrastruktury, kradzieży danych lub wykonania innych celów na rzecz danego państwa.

Tylko w 2023 roku doszło w Polsce do kilku poważnych incydentów.

Luty – atak na stronę podatki.gov.

Kwiecień – wykryto kampanię szpiegowską związaną z rosyjskimi służbami.

Maj – duży wyciek danych logowania do portali społecznościowych i internetowej bankowości.

Czerwiec – atak na Zarząd Dróg – Zieleni i Transportu w Olsztynie i system sterowania ruchem. Przestały także działać biletomaty.

Lipiec – atak hakerski na Akademię Sztuki Wojennej

Sierpień – atak rosyjski na Giełdę Papierów Wartościowych.

Wrzesień – „kryzys zbożowy” i zaangażowanie w to Rosji.

Listopad – wyciek danych 220 tys. pacjentów laboratoriów ALAB.

– W 2023 r. Polska pozostawała celem licznych cyberataków, w tym operacji prowadzonej przez służby wrogich państw, obliczonych na pozyskanie kluczowych informacji, rozpoznanie systemów ICT na potrzeby potencjalnych przyszłych destrukcyjnych cyberataków, zakłócenie infrastruktury krytycznej i innych kluczowych zasobów, jak również szerzenie dezinformacji mającej na celu rozpropagowywanie nieprawdziwych informacji i własnych narracji oraz pogłębianie polaryzacji społecznej – czytamy w dokumencie.

Darmowe pogrzeby emerytów

Jedną z takich grup hakerskich jest UNC1151. Z dużym prawdopodobieństwem jest powiązana z rządem Białorusi lub z rosyjskimi służbami specjalnymi. Jest mocno obecna w polskiej sieci.

– Celami ataków są głównie osoby związane z polityką i wojskowością oraz mogące mieć pośredni związek z Rosją i Białorusią, np. tłumacze przysięgli języka rosyjskiego, prawnicy, pracownicy organizacji pozarządowych, księża prawosławni czy dziennikarze. Ataki obserwowano również w Ukrainie, Litwie, Łotwie czy w Niemczech. Motywacją była najczęściej kradzież informacji w celach wywiadowczych oraz prowadzenia kampanii dezinformacyjnych. Większość obserwowanej aktywności była związana z kampaniami złośliwego oprogramowania oraz dezinformacją – podaje raport.

I to nie tylko takie działania, jakie możemy kojarzyć z włamaniami do systemów. W pierwszym kwartale 2023 r. zarejestrowano duże kampanie dezinformacyjne w Polsce, Litwie i Łotwie. Były powiązane „z rzekomymi ćwiczeniami przy granicy z Ukrainą, rekrutacją do wojska, brakiem jodku potasu w aptekach czy zagrożeniem terrorystycznym na terenie Polski”. W kolejnych miesiącach akcja dezinformacyjna przeniosła ciężar na temat wyborów parlamentarnych.

To było np. rozsyłanie profesjonalnie przygotowanej informacji o kandydatach do parlamentu, a zawierających załącznik ze szkodliwym oprogramowaniem. Nadawcą wiadomości miał być jeden z komitetów wyborczych.

Doszło wręcz do tego, że rosyjscy agenci zaatakowali centra handlowe, i ich system informacji „gdzie wyświetlono plansze z fałszywymi informacjami”.

W raporcie znajduje się nawet zdjęcie wyświetlacza z dużego sklepu, na którym widać Jarosława Kaczyńskiego i napis: „Darmowe pogrzeby emerytów”.

– Oprócz grup, których działalność jest dobrze poznana i odpowiednio zakwalifikowana, CSIRT NASK w 2023 r. śledził również grupę, która przeprowadziła kampanię podszywającą się pod NASK. W załączniku do rozesłanego e-maila znajdowała się instrukcja, jak zainstalować rzekomy sieciowy program ochrony obywateli. Podczas uruchomienia pliku z linku podanego w instrukcji dochodziło do infekcji złośliwym oprogramowaniem Lumma Stealer. Mimo że jest ono wykorzystywane głównie w atakach motywowanych finansowo, w tym przypadku, na podstawie celów oraz powiązanych kampanii, eksperci CSIRT NASK ocenili, że motywacją aktora było pozyskiwanie informacji. Ta sama grupa korzystała wcześniej z domen podszywających się pod strony prezentujące informacje związane z cyberbezpieczeństwem w Polsce, szczytem NATO w Wilnie, czy organizacjami działającymi na rzecz wolności prasy – czytamy w raporcie.

Na zdjęciu: Centrum handlowe i atak hakerski (Fot. screen gov.pl)

Tekst powstał w ramach projektu „Siła Prawdy”. Celem projektu jest walka z dezinformacją i fake newsami na styku polsko-ukraińskim. Projekt współfinansowany ze środków Polsko-Amerykańskiej Fundacji Wolności w ramach programu Wspieramy Ukrainę, realizowanego przez Fundację Edukacja dla Demokracji.