Co wiemy o rosyjskich szpiegach w poczcie polskich wojskowych

dodał 1 marca 2015 o 20:59 w kategorii Włamania  z tagami:
Co wiemy o rosyjskich szpiegach w poczcie polskich wojskowych

Jutrzejszy Wprost ma opublikować szczegóły informacji o tym, że rosyjscy szpiedzy uzyskali dostęp do tysięcy emaili polskich wojskowych. Informacje do tej pory ujawnione przez tygodnik są jednak bardzo niejasne.

Wprost opublikował artykuł pod tytułem Rosjanie szpiegowali Sztab Generalny Wojska Polskiego. Niestety nie tylko nie zawiera on żadnych szczegółów technicznych, ale także jest niemożliwy do weryfikacji i niejasny w swoim sensacyjnym przekazie.

Co wiemy o domniemanym ataku

Zacznijmy od tego, czego atak rzekomo dotyczył. Według informatorów Wprost był to „bardzo poważny atak hakerski skierowany głównie na prywatną pocztę elektroniczną osób pracujących w MON i Sztabie Generalnym Wojska Polskiego”. Zatem wygląda na to, że celem „hakerów” były prywatne skrzynki pocztowe pracowników kluczowych organów wojska. Wprost donosi, że pracownicy wykazywali się brakiem odpowiedzialności przy korzystaniu z prywatnej poczty. Z drugiej strony informuje także, że sprawę badało ABW i nie wykryło przypadku kradzieży istotnych informacji. Wiemy także, że „atak był prowadzony z serwerów na Łotwie” – jednak brak jakichkolwiek dalszych informacji na ten temat.

Co ciekawe, domniemanym skutkiem ataku miała być między innymi dymisja generała Janusza Noska, szefa Służby Kontrwywiadu Wojskowego. Do dymisji doszło we wrześniu 2013 roku, co oznacza, ze wspomniany atak musiał mieć miejsce jeszcze wcześniej. Wprost twierdzi, że atak był również jedną z przyczyn odejścia Krzysztofa Bondaryka, szefa Narodowego Centrum Kryptologii MON, który nie chciał być kojarzony z takim poziomem ochrony informacji.

poczta

Problemy logiczne i merytoryczne

Krótki tekst Wprost zostawia nas z wieloma pytaniami i brakiem odpowiedzi. Zacznijmy od skali ataku. Wprost twierdzi, że „przejętych zostało co najmniej tysiąc maili osób pracujących w wojsku”. Czy oznacza to tysiąc skrzynek pocztowych czy tysiąc wiadomości poczty elektronicznej? W tym pierwszym przypadku liczba brzmi całkowicie niewiarygodnie. Pomijamy już trudność w uzyskaniu listy tysiąca prywatnych adresów email osób zatrudnionych w armii. Nawet gdyby jakimś cudem szpiegom się to udało, to nie oznacza to przecież automatycznego dostępu do tych skrzynek (chyba że podsłuchiwali ruch MON pod Mostem Łazienkowskim…). Z kolei jeśli mowa jest o tysiącu wiadomości, to równie dobrze może to oznaczać włamanie do jednego konta jednego pracownika i przejęcie jego zawartości, co nie jest incydentem godnym głębszego rozważania.

Drugą niewiadomą jest waga zdarzenia. Z jednej strony w artykule Wprost czytamy, że w tej sprawie ABW przeprowadziło kontrolę, w której wyniku stwierdzono, że żadne istotne informacje nie zostały wykradzione. Skoro tak, to czy faktycznie skutkiem ataku mogły być dwie dymisje bardzo ważnych funkcjonariuszy? Nie wygląda to wiarygodnie.

Kolejną zagadką jest czas zdarzenia i czas jego konsekwencji. Jeśli do ataku doszło przed wrześniem 2013, to czemu miał on mieć wpływ na dymisję generała Bondaryka, do której doszło w styczniu 2015? Czekał półtora roku ze swoją decyzją? Wygląda to na mocno naciąganą tezę. Z kolei Wprost dowiedział się o sprawie podobno w lutym 2014 – czemu zatem czekał ponad rok z publikacją? Kolejny brak logiki.

Wielką niewiadomą są także informatorzy gazety, opisani jako „jedna z najbardziej wpływowych postaci w środowisku polskich służb specjalnych”, „rozmówca z resortu obrony narodowej” czy też „poseł 1” i „poseł 2”. To już rewelacje o Durczoku były lepiej udokumentowane.

Ciekawe mogą być także rozważania o tym, skąd polskie służby dowiedziały się o ataku. Czy na wykradzione informacje trafił kontrwywiad? Raczej nie, ponieważ to właśnie SKW została wskazana jako służba, której zaniedbania mogły przyczynić się do sukcesu włamywaczy. Skąd zatem wiedza o skali ataku? Wydaje się to jednym z najciekawszych pytań w tej sprawie.

Nie pierwszy i nie ostatni

MON stanowi jeden z głównych celów zagranicznych włamywaczy. Nie jest to pierwszy atak na tę instytucję. Pod koniec zeszłego roku dowiedzieliśmy się o ataku grupy APT28, prawdopodobnie pochodzenia rosyjskiego, która zarejestrowała domenę poczta.mon.g0v.pl w celu kradzieży haseł polskich wojskowych. Strona MON padła także ofiarą włamywaczy w styczniu 2012 (podobno przez błąd weryfikacji danych na formularzu wniosku o akredytację prasową). Od tamtej pory na serwery WWW MON nie można było nawet wchodzić przez Tora. Z kolei w ogromnym wycieku danych z serwerów firmy Adobe znalazło się 7 kont zarejestrowanych w domenie mon.gov.pl. Jak zatem widać, możliwości skutecznych ataków zawsze było wiele.

Domeny rejestrowane przez APT28

Domeny rejestrowane przez APT28

Nie liczymy za bardzo na więcej merytorycznych informacji w jutrzejszym artykule Wprost, ale jeśli ktoś z Czytelników chciałby się podzielić wiedzą na temat powyższego ataku, to zapraszamy do kontaktu i gwarantujemy anonimowość.

Aktualizacja 2015-03-02

Na podstawie artykułu opublikowanego w papierowym wydaniu możemy dodać, że wg Wprost:

  • atak nie dotyczyły tylko Polski, ofiarami byli również wojskowi z innych krajów, np. Niemiec,
  • atak miał miejsce w lipcu 2013,
  • o ataku dowiedziała się ABW od łotewskich służb,
  • atak dotknął kilkudziesięciu prywatnych skrzynek.

Z kolei wg oficjalnego stanowiska MON, które uzyskał Wprost:

Wykryto nieautoryzowane logowania na internetowe skrzynki pocztowe pracowników resortu. Próby przełamania zabezpieczeń dotyczyły w głównej mierze nieużywanych kont, dla których użytkownicy nie dokonali zmian haseł startowych.[…] Mając na uwadze fakt, iż niewłaściwie realizowana polityka w zakresie haseł dostępowych może prowadzić do dostania się do kont, resort zapobiegawczo zwiększył wymagania w tym obszarze a także zmienił zasady przydzielania kont służbowych.

Niestety po ujawnieniu pełnej treści publikacji Wprost nie jesteśmy dużo mądrzejsi. Źródło Wprost mówi o prywatnych skrzynkach, MON o służbowych. Ciekawie wyglądają także nieużywane konta na serwerach MON z niezmienionymi „hasłami startowymi” w możliwej do odgadnięcia formie. Może było to normą w 1999, ale w 2013?