На крупнейшее польское военное учреждение – Академию военных искусств – совершена хакерская атака группой CyberTriad, сообщает Onet. Ее целями являются НАТО и Украина. Следы группы, по мнению бывшего руководителя Службы военной контрразведки Польши генерала Петра Пытеля, ведут в Россию. Но прямых доказательств нет.
Генерал Петр Пытель (Piotr Pytel) по нашей просьбе проанализировал действия хакерской группы CyberTriad, которая взломала сайт польской Академии военных искусств. Это не случайные люди, а серьезная организация: она может успешно проникать в сети крупных учреждений и в инфраструктуру многих стран мира. Целью их атак являются НАТО и Украина. После того, как жертвой хакеров стал военный университет в Бельгии, польскому военному ВУЗу следовало быть готовым к схожему сценарию.
24 августа в статье "Хакерская атака парализовала работу крупнейшего польского военного ВУЗа. Секретная информация в чужих руках" мы описали, как хакерская группа CyberTriad взломала компьютерную систему крупнейшего польского военного учреждения – Академии военных искусств. Анализ профиля этой группы и ее деятельности сделал для нас бывший руководитель Службы военной контрразведки генерал Петр Пытель.
Русский след
Генерал Петр Пытель: В данном случае мы имеем дело с группой хакеров, которая действует типичным для русских способом, то есть выступает с открытой декларацией своих намерений. Такую декларацию группа CyberTriad разместила на своем сайте 20 мая этого года, объявив, что она действует из благородных побуждений. Участники группы заявляют, что больше не могут безучастно наблюдать за тем, как США и НАТО толкают народы к третьей мировой войне. Они утверждают, что стремятся остановить войну, позиционируют себя как сторонники мира, противники НАТО и мировой гегемонии США.
А еще они называют себя идеалистами. Обращение к идеалистической мотивации – это отличительная особенность российских хакерских групп. Они пишут: "У нас нет границ, национальности и иерархии...". То есть они за полное равенство. И далее: "...мы знаем, как можно жить в мире без насилия". То есть они борются за мир и являются пацифистами, но при этом подчеркивают свою силу: "Мы не устанем, не поколеблемся, не подведем".
Очень интересна символика группы CyberTriad. В центральной части их логотипа у них находится изображение необычной (черной), но все же очень узнаваемой русской матрешки. За матрешкой мы видим два меча – это исламские Зульфикары. Зульфикар – легендарный меч Мухаммеда. Мечи указывает на присутствие исламской идеологии, либо это является типичным ложным следом, чтобы создать впечатление, будто бы группа пользуется поддержкой исламских фундаменталистов. Конечно же, включение в логотип упомянутых мной элементов не случайно, это продуманный, возможно, частично дезинформирующий нарратив.
"Идеалисты" с большой дороги
Итак, группа занимается борьбой с НАТО и выработанными в рамках европейского консенсуса инициативами по оказанию помощи Украине в противостоянии с Россией.
Она начинает свою деятельность с довольно символической атаки. Это произошло 21 мая во время саммита G7 в Хиросиме. Тогда на своей странице хакеры в ироничной манере приветствуют президента Зеленского, а затем проводят атаки на различные японские учреждения, что уже подтвердили власти Японии. Они, в частности, взламывают сайты аэропорта Хиросимы и официальный портал города Хиросимы.
Затем идет атака на Japan Rail Pass, компанию в структуре японских железных дорог, которая занимается распространением бесплатных билетов и помогает организовывать поездки туристов по Японии. Хакеры объявили, что им удалось получить данные клиентов фирмы. Персональные сведения, вероятно, передавались клиентами при заполнении ими заявок на бесплатные билеты. Таким образом, деятельность хакеров не ограничивается блокировкой сайтов, а носит типично пиратский, воровской характер.
Это значит, что мы имеем дело не с безобидным развлечением группы молодых людей, а с деятельностью, направленной, в частности, на сбор конкретных данных, которые являются ценными и полезными для разведки.
Поляки должны были знать об угрозе уже в мае
23 мая хакеры совершают атаку на веб-сайт Европейского совета в Брюсселе, где получают доступ к прямой трансляции заседания. Они также взламывают сайт премьер-министра Бельгии Александра де Кро и бельгийского МВД. А затем совершают акцию, которая очень похожа на ту, что недавно имела место в Польше – блокируют сайт Королевской военной академии, которая является бельгийским эквивалентом нашей Академии военных искусств. В тот же день Cyber Triad заявила, что в ее распоряжении теперь имеются данные учащихся Академии.
На данном этапе их деятельности уже понятно, что мы имеем дело с крупным антинатовским крестовым походом под эгидой российских спецслужб. Сейчас нам нужно сплотиться, чтобы защитить польские учреждения, которым угрожает такая атака. Я имею в виду различные представительские органы НАТО, систему коммуникации, государственные органы, организации, связанные с критической инфраструктурой.
Уверен, что в рамках обмена информацией между органами НАТО в разных странах, отвечающими за кибербезопасность, произошел оперативный обмен информацией о хакерских атаках. Это позволяет находящимся в зоне риска организациям к ним должным образом подготовиться. Я уверен, что хакеры пытались взломать сайты многих учебных заведений, но удалось это в первую очередь там, где с обменом информацией и оперативным взаимодействием между компетентными службами дела обстоят плохо.
Они могут нанести удар по инфраструктуре
31 мая хакеры атакуют Братиславу. Атаки происходят во время проводимого в этом городе форума GLOBSEC, который посвящен поддержке Украины и европейскому ответу на угрозы со стороны России. Затем взламывают сайты города Братислава и сеть паркоматов, в результате чего в тот день до 12 часов во всей столице Словакии машины парковались бесплатно.
Далее, 26 июня они берут на себя ответственность за хакерские атаки в Бельгии во время встречи там министров обороны стран НАТО. На этот раз атакуются паркоматы в Брюсселе, блокируется, хотя и без серьезных негативных последствий, сайт бельгийского Федерального агентства по ядерному контролю, а затем вновь наносится удар по Королевской военной академии. Что касается Академии, я думаю, что на этот раз бельгийцы уже были к этому готовы, и никаких впечатляющих успехов там хакерам достичь не удалось, иначе они непременно бы ими похвастались.
Итак, на данный момент мы уже знаем, что существует группа с большим потенциалом, способная эффективно атаковать инфраструктуру. Мы также имели возможность убедиться, что важными целями для них являются НАТО и Украина.
Вот очень характерная вещь: 26 июня они обвиняют натовских министров в гибели тысяч мирных жителей в Югославии, Афганистане и на Украине. А кто может обвинить НАТО в гибели тысяч мирных жителей именно в этих трех странах? Естественно, следы снова ведут в Россию.
Последствия нападения на Академию военных искусств
11 июля хакеры нанесли удар по Польше. Они начинали с заявления, что, мол, у нас есть к вам претензии по поводу того, что президент Дуда не исключил размещение польских войск на Украине, и поэтому мы взламываем Академию военных искусств в Варшаве.
Что касается этой атаки, тут главная проблема в том, что в этом университете не только обучаются кадры вооруженных сил Республики Польша, но и хранятся всевозможные важные данные. Ущерб зависит от глубины проникновения, а в данном случае похоже, что хакеры не только зашли на веб-сайт академии, но и, возможно, получили доступ к ее серверам.
К сожалению, информация о кадрах защищена не так хорошо, как элементы компьютерной сети, используемые для проведения различных видов учений и симуляций. Если им удалось добраться до кадров, это плохо. Академия располагает данными офицеров, окончивших всевозможные курсы для получения звания майоров, полковников и генералов. Такие сведения позволяют понять, какой специальностью владеет конкретный офицер, какие курсы он заканчивал, какие функции ему могут быть поручены. Следует помнить, что Академия проводит обучение по очень широкому спектру специальностей, в том числе готовит сотрудников спецслужб. Такие данные могут быть очень полезны для иностранной разведки, которая будет знать, чем занимается данный офицер сейчас и какие задачи планирует решать в будущем. Такая информация нужна иностранным спецслужбам, например, для разработки плана вербовочного подхода к такому офицеру или проведения в отношении него других оперативных мероприятий.
26 выявленных офицеров
Пока хакеры выложили в Интернет имена 26 офицеров, обучающихся в Академии военных искусств, а также некоторую сопутствующую ценную информацию. Указано, в частности, на какие должности их готовили, например, командира или начальника штаба танковой бригады. Говорится также, по каким направлениям они готовились – оперативному, разведывательному, связанным с использованием некинетического оружия, действиям по маскировке и охране войск и т.д.
То, что все это произошло, очень плохо, потому что теперь иностранные спецслужбы имеют информацию о том, чем занимается конкретный офицер, или чем он собирается заниматься. Как известно, скажем, квартирмейстера, к службе в разведке не готовят. Теперь основной вопрос заключается в том, какой объем этих данных просочился. Если хакеры выудили из отдела кадров Академии данные о служебных перспективах условного капитана Новака (а о перспективе можно судить по направлению его обучения), уже сегодня занимающего значительную должность в структурах вооруженных сил Польши, то у иностранной разведки будет время, соответствующая информация и условия для подготовки попытки вербовки этого Новака, которая может увенчаться успехом.
Авторы: Эдита Жемля (Edyta Żemła) Марчин Вырвал (Marcin Wyrwał)