Informacje opublikowane przez byłego szefa Agencji Bezpieczeństwa Wewnętrznego Krzysztofa Bondaryka w listopadowym numerze miesięcznika Raport, wskazują na penetrację części infrastruktury MON przez podmiot zewnętrzny.

Pierwsze działania włamywaczy prawdopodobnie datują się na rok 2006, ale najgłośniejszy atak miał miejsce rok temu – w listopadzie 2014r.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Hakerzy włamali się do znanego polskiego sklepu internetowego

Krzysztof Bondaryk pisze: „Sprawę (włamania – przyp.red.) wykryły cywilne służby specjalne. W związku z tym w latach 2013-2014 podjęto próbę uporządkowania i wzmocnienia tej formacji Sił Zbrojnych, która powinna zajmować się walką w cyberprzestrzeni. (...) Niestety działania te nie zostały doprowadzone do końca. (...) Prawdopodobnie proceder hakowania i wykradania korespondencji został wznowiony”.

MON na cenzurowanym

Przeprowadzona przez NIK w 2014r. kontrola, po której opublikowano raport związany z działaniami państwa w zakresie obrony przed atakami cybernetycznymi wykazała daleko idące nieprzygotowanie najważniejszych instytucji państwowych w naszym kraju.

Paradoksalnie, stosunkowo dobrze w tym raporcie wypadł resort obrony. Główne rodzaje ryzyka, jakie w MON wskazali kontrolerzy, to: częste zmiany struktury resortu, podporządkowanie systemu bezpieczeństwa IT personalnie jednej osobie oraz brak oszacowania niezbędnych zasobów.

Krzysztof Bondaryk uważa, że względnie dobra ocena (w porównaniu do oceny innych resortów) wynikała głównie z utrzymania pracy działu CERT związanego z odpowiedzią na zagrożenia cybernetyczne, a także z funkcjonowania trójpoziomowego systemu reagowania na incydenty komputerowe (SrnIK).

Masowe ataki do słabiej chronionych sieci

Dwa lata temu nastąpiło dość głośne włamanie na serwery Kancelarii Prezesa Rady Ministrów, Ministerstwa Spraw Zagranicznych oraz Ministerstwa Obrony Narodowej.

Zdarzenie to, chociaż spowodowało dość duży rozgłos medialny, nie przyniosło wielkich szkód MON, gdyż Ministerstwo posiada dwie osobne podsieci. Pierwszą z nich jest sieć jawna (nazywana popularnie INTER-MON), która posiada połączenie z Internetem - istnieje zatem techniczna możliwość infiltracji takiej sieci z zewnątrz przy pomocy popularnych technik infekcji złośliwym oprogramowaniem. Druga sieć związana z przetwarzaniem informacji niejawnych jest odseparowana od Internetu i jedynym sposobem infekcji takiej sieci jest wprowadzenie do niej podstawionego nośnika USB i wykorzystanie dedykowanego złośliwego oprogramowania klasy militarnej.

Informacje podawane przez Krzysztofa Bondaryka potwierdzają fakt włamania do sieci połączonej z Internetem. Bondaryk uważa jednak, że włamywacze spenetrowali infrastrukturę MON i proceder kradzieży informacji nadal trwa.

Rosyjskie tropy

Jeśli założymy, że włamanie objęło dobrze chronioną sieć wewnętrzną przeznaczoną do przetwarzania informacji niejawnych, należy także założyć, że włamywacze, którzy mogą taką sieć infiltrować, pracowali na zlecenie obcego rządu. Atak klasy militarnej z użyciem dedykowanego oprogramowania (takiego jak Stuxnet czy Duqu) pozostawia nikłe ślady w słabo zabezpieczonych sieciach i napastnicy mogą tam działać niezauważeni przez lata.

Należy jednak pamiętać, że stosowane w Ministerstwie Obrony Narodowej środki techniczne są jedynie częścią zabezpieczeń, które mają na celu minimalizację ryzyka kradzieży informacji. Jeśli zatem ktoś miałby wystarczające zasoby, by penetrować sieć wewnętrzną MON, byłaby to organizacja sponsorowana przez rząd obcego kraju.

Bondaryk nie informuje kto stał za wspomnianym przez niego atakiem, ale pośrednio wskazuje, że tropy wiodą do Rosji. Włamywacze komputerowi prowadzący operację „Pawn Storm” (nazwaną na podstawie jednej ze strategii gry w szachy) wielokrotnie infekowali infrastrukturę IT w różnych krajach członkowskich NATO, zatem być może polskie ministerstwo również było celem podobnego ataku.

O atakach klasy APT przeciw resortom obrony różnych krajów informowali także dostawcy z sektora bezpieczeństwa (między innymi Trend Micro i Symantec). Najbardziej prawdopodobne są jednak proste ataki, kierowane przeciw łatwo dostępnej części infrastruktury – tej połączonej do Internetu. Podobne ataki może przeprowadzić dowolna grupa cyberprzestępcza, niekoniecznie kontrolowana i sponsorowana przez rząd obcego kraju.