Polskie wojsko na celowniku rosyjskich hakerów. Google: to pierwszy taki atak w historii
- Jeszcze nigdy polskie wojsko nie było celem cyberprzestępców – mówi rzeczniczka Google. Hakerzy próbowali wykraść dane za pomocą prostego, acz czasami skutecznego phishingu. Niestety nie wiadomo, czy tym razem udało im się osiągnąć swój cel i czy Polska nie jest ofiarą jakiegoś wycieku.
O atakach pisze "The Washington Post". W ciągu ostatnich dwóch tygodni celem byli mieszkańcy Ukrainy, ale też wojskowi z Polski. Za atakiem na polską stronę stoi białoruska grupa hakerów odpowiedzialna za kampanię Ghostwriter. Brzmi znajomo? Słusznie.
Właśnie tak nazwano akcję, której częścią był atak na polskich polityków sprzed kilku miesięcy. W czerwcu dowiedzieliśmy się, że od listopada 2020 doszło do kilku przejęć kont polityków. Inne informacje mówiły o tym, że skradzionych miało zostać od 4 do 4,5 tys. kont, a hakerzy przejęli łącznie ok. 70 tys. maili. Nie wiadomo było jednak, czy chodziło o konta tylko polityków.
Początkowo działania Ghostwriter skupiały się na uzyskiwaniu dostępu do serwisów informacyjnych i blogów, by publikować na nich zmanipulowane teksty i zdjęcia. Choćby takie: we wrześniu 2019 roku żołnierze NATO z Niemiec mieli zbezcześcić cmentarz żydowski na Litwie. Według analityków początki „Ghostwritera” sięgają 2017, a może nawet 2016 roku. Pewne jest, że ślady prowadzą do służb rosyjskich i że w ostatnich miesiącach kampania rozszerzyła swoją działalność z samej dezinformacji na kradzież danych uwierzytelniających użytkowników ze szczególnym uwzględnieniem polityków. Jak pisze Mandiant, w akcjach „Ghostwritera” prawdopodobnie pomaga grupa hakerów UNC1151, podejrzewana o związki z rosyjskimi władzami – pisała Sylwia Czubkowska na łamach Spider's Web+.
Jesienią wyszło na jaw, że Ghostwriter ma białoruskie powiązania
Teraz Threat Analysis Group Google'a potwierdza, że celem Ghostwirtera w ostatnim tygodniu byli polscy wojskowi. Mieli otrzymać linki przenoszące na fałszywe strony Blogspota. Jeżeli ktoś zainteresował się sprawą, kliknął odnośnik i trafił na podstawiony serwis, mógł podać tam swoje dane - login i hasło – myśląc, że znajduje się w odpowiednim miejscu. A wówczas przestępcy mogli przejąć jego konto. To pierwsza oficjalnie odnotowana phishingowa próba ataku na polskie wojsko.
Nie wiemy jednak, czy skuteczna, bowiem Google nie jest w stanie tego potwierdzić. To dlatego, że skrzynki nie należały do firmy.
Nic nowego. Na przykład Michał Dworczyk, szef Kancelarii Prezesa Rady Ministrów, korzystał nie tylko ze służbowej, ale także z prywatnej skrzynki w domenie wp.pl, by omawiać sprawy państwowe z m.in. premierem Mateuszem Morawieckim. Chodziło m.in. o takie kwestie jak np. użycie wojska podczas strajku kobiet. Podobnie postępował Piotr Bączek, czyli szef Służby Kontrwywiadu Wojskowego w latach 2015-2018.
Doniesieniami nie możemy być zdziwieni. Tylko w trzech pierwszych dniach wojny liczba cyberataków na instytucje polityczno-wojskowe Ukrainy wzrosła o 196 proc. Złośliwe oprogramowanie typu wiper, które wymierzono w instytucje finansowe Ukrainy i w jej ministerstwa, uderzyło jeszcze zanim rosyjskie wojska napadły na Ukrainę. Tak naprawdę "pierwsze strzały" oddano więc w cyberprzestrzeni.
Polska zaś także jest na celowniku hakerów. Według amerykańskiego producenta oprogramowania Symantec znajdujemy się na 20. pozycji w rankingu krajów najbardziej narażonych na cyberataki.
