Rosyjscy hakerzy w natarciu. Zagrożenie dla milionów Polaków

Microsoft, który posiada swój potężny dział do walki z cyberprzestępczością, już w 2021 roku wskazał Rosję jako największe zagrożenie dla bezpieczeństwa w cyberprzestrzeni. W kolejnych latach ataki i manipulacje ze strony grup hakerskich nadzorowanych i finansowanych przez państwo (ang. nation-state threat actors) przybrały na sile. Microsoft Threat Intelligence śledzi m.in. działalność grupy Seashell Blizzard prowadzącej kampanię "BadPilot", aktywnej od ponad dekady (przynajmniej od 2013 roku), najprawdopodobniej na zlecenie rosyjskiego wywiadu wojskowego GRU.

Ataki tej grupy wymierzone były głównie w państwa członkowskie NATO, wliczając w to Polskę, ale także w dużą część krajów azjatyckich, Australię, a także parę państw afrykańskich i południowoamerykańskich. A to tylko jedna z takich grup. Jakie cyberataki Rosjanie przypuścili na Polskę i czy były one udane? I skąd w ogóle wiadomo, że to oni?

Skąd wiadomo, że to właśnie rosyjscy hakerzy zaatakowali polską infrastrukturę? Sami się tym pochwalili. Na rosyjskim portalu Telegram cyberprzestępcy udostępnili nagranie, które pokazuje obraz z systemu SUW Szczytno. 7 maja 2025 hakerzy manipulowali parametrami stacji uzdatniania wody. I wygląda na to, że im się powiodło, bo tego samego dnia w Szczytnie, na ul. Ogrodowej doszło do awarii sieci wodociągowej. Mógł to być oczywiście przypadek, ale wiele wskazuje na związek przyczynowo-skutkowy.

Już dwa dni później, 9 maja 2025, celem rosyjskich hakerów padły dwa kolejne obiekty: elektrownia wodna w Gdańsku oraz bioreaktor w Nowym Mieście Lubawskim. Także tutaj cyberprzestępcy na usługach Putina próbowali manipulować systemami, jednak tym razem z miernym powodzeniem. Wygląda na to, że nie udało im się złamać wszystkich zabezpieczeń hydroelektrowni, a bez pełnego dostępu do panelu sterowania nie mogli poważnie zakłócić działania urządzeń. Oba incydenty zgłoszono do CERT Polska.

Intencje i powiązania hakerów zdradza także ich wcześniejsza aktywność. Rosyjska grupa włamywała się na serwery i modyfikowała strony internetowe, zostawiając na nich wiadomość "Za Rosję!". Oczywiście tak napisać może każdy i także w cyberprzestrzeni prowadzone są operacje fałszywej flagi (ang. false flag), jednak przypomnijmy, że aktywność grupy jest monitorowana od ponad dekady i wszystko to układa się w jedną całość.

Do ataków dochodziło też w poprzednich miesiącach. W lutym celem hakerów padły stacje uzdatniania wody w Tolkmicku, Małdytach i Sierakowie, a wicepremier Krzysztof Gawkowski wydał komunikat w sprawie cyberataków na przemysłowe systemy sterowania (ICS/OT), zaś w kwietniu Rosjanie pochwalili się na swojej platformie nagraniem z ataku na "kotłownię przemysłową w Łodzi". W 2024 roku zaatakowano natomiast oczyszczalnie ścieków w Kuźnicy i Mazuchówce (Wydminy), a także spalarnie odpadów, platformę zakupową, a nawet... system podgrzewania wody w czyimś prywatnym mieszkaniu. W wielu przypadkach hakerzy publikowali nagrania na Telegramie, ukazujące różne panele kontrolne wspomnianych obiektów.

Mimo że oficjalnie Rosja nie jest w stanie wojny z Polską i NATO, to realnie prowadzi z nami cyberwojnę, wysługując się grupami hakerskimi zatrudnionymi nieoficjalnie przez tajne służby - przede wszystkim wywiad wojskowy GRU. Wskazywane są różne cele: tradycyjna destabilizacja sąsiadów i badanie gruntu pod ewentualne wrogie działania, zemsta za Ukrainę i szkodzenie jej sojusznikom, działalność wywiadowcza, w tym szpiegostwo przemysłowe i zbieranie informacji o infrastrukturze krytycznej, szantażowanie i werbowanie szpiegów, tworzenie gruntu pod kampanie wpływu i ich realizacja w celu doprowadzenia do korzystnych dla Rosji decyzji politycznych, manipulacja wyborami i nie tylko. Kiedyś wymagało to bardziej bezpośrednich, kontaktowych działań. Dziś agenci i kontraktorzy mogą robić to wszystko zza monitora, z dowolnego punktu na Ziemi.

Rząd zapowiedział dalsze działania, które mają wzmocnić cyberbezpieczeństwo Polski, wliczając w to lepszą ochronę obiektów o krytycznym znaczeniu. Trwa jednak wyścig zbrojeń. Zarówno państwa, jak i giganci technologiczni pokroju Microsoft tworzą coraz lepsze zabezpieczenia oraz metody odpierania ataków, wykrywania podejrzanych aktywności (także z udziałem sztucznej inteligencji) i blokowania wrogiej działalności na poziomie prawnym poprzez szybką współpracę z organami ścigania.

W Polsce coraz skuteczniej działają Wojska Obrony Cyberprzestrzeni oraz Centralne Biuro Zwalczania Cyberprzestępczości. Jednocześnie hakerzy spod ciemnej gwiazdy - sowicie opłacani przez państwa, które oficjalnie umywają od tego ręce - rozwijają sposoby na omijanie tych zabezpieczeń, także wykorzystując najnowsze technologie AI i inne zdobycze. To jak zabawa w kotka i myszkę.

Dla milionów Polaków oznacza to, że w każdej chwili wrogie służby mogą doprowadzić do awarii krytycznych systemów i np. odcięcia od czystej wody pitnej albo dostawy prądu z elektrowni. Zagrożona jest bowiem nie tylko polityka, ale i nasze codzienne życie. To realne zagrożenie egzystencjalne, którego źródłem jest działalność w zupełnie innej sferze niż tradycyjna wojna konwencjonalna, przez co jest trudniejsze do wykrycia i odparcia.

***

Bądź na bieżąco i zostań jednym z 87 tys. obserwujących nasz fanpage - polub GeekWeek na Facebooku i komentuj tam nasze artykuły!