Trzy jednostki, jeden cel. Tak działa cyberzaplecze rosyjskiego GRU
Brytyjski dokument po raz pierwszy w tak szczegółowy sposób opisuje strukturę rosyjskich jednostek odpowiedzialnych za cyberataki i operacje hybrydowe. Chodzi o trzy formacje podporządkowane wywiadowi wojskowemu GRU:
- Jednostkę 26165, znaną również jako APT28 (Fancy Bear),
- Jednostkę 74455, określaną jako Sandworm (APT44),
- Jednostkę 29155, której cyberskrzydło funkcjonuje pod nazwą Cadet Blizzard.
Według brytyjskiego rządu każda z nich odpowiada za inny rodzaj działań. Jednostka 26165 specjalizuje się w cyberwywiadzie, kradzieży danych, kampaniach „hack and leak” oraz długotrwałym szpiegostwie wymierzonym w administrację państwową, wojsko i organizacje międzynarodowe.
Jednostka 74455 odpowiada przede wszystkim za najbardziej destrukcyjne cyberataki. Jej celem są sieci energetyczne, infrastruktura krytyczna oraz systemy sterowania przemysłowego.
Najmłodsza z nich – Jednostka 29155 – prowadzi działania hybrydowe łączące cyberataki z sabotażem, operacjami specjalnymi oraz działalnością wywiadowczą. Brytyjczycy zwracają uwagę, że jednostki nie działają niezależnie. W wielu operacjach uzupełniają się, realizując wspólny plan rosyjskich służb.
Cyberatak coraz częściej poprzedza rakiety
Jednym z najważniejszych wniosków raportu jest pokazanie, że cyberprzestrzeń stała się integralnym elementem rosyjskich działań wojskowych.
Autorzy opisują mechanizm wielokrotnie stosowany podczas wojny przeciw Ukrainie. Najpierw pojawia się rozpoznanie prowadzone przez hakerów, następnie cyberatak utrudniający działanie administracji lub infrastruktury, a dopiero później działania militarne.
Brytyjski raport przywołuje przykład z marca 2022 roku. 15 marca funkcjonariusze Jednostki 26165 prowadzili rozpoznanie cyfrowe dotyczące schronów dla ludności cywilnej w Teatrze Dramatycznym w Mariupolu oraz stacji metra „Chołodna Hora” w Charkowie.
Już dzień później rosyjskie lotnictwo zbombardowało teatr w Mariupolu, mimo że przed budynkiem znajdował się ogromny napis „ДЕТИ” („Dzieci”), widoczny z powietrza. W ataku zginęli cywile, w tym dzieci ukrywające się w budynku. Brytyjski rząd wskazuje ten przypadek jako przykład ścisłego połączenia rozpoznania cyfrowego z operacjami militarnymi.
„Cyberoperacje zapewniają Rosji przewagę informacyjną na polu walki i są wykorzystywane do wspierania działań wojskowych” – czytamy w raporcie rządu Wielkiej Brytanii.
Według autorów podobny mechanizm stosowano także podczas prób zakłócania dostaw zachodniej pomocy wojskowej dla Ukrainy. Hakerzy uzyskiwali dostęp do kamer monitoringu znajdujących się w pobliżu portów, przejść granicznych, dworców i centrów logistycznych w Ukrainie, Mołdawii oraz jedenastu państwach NATO.
Ich celem było śledzenie transportów sprzętu wojskowego oraz poznanie tras jego przemieszczania.
„Rosja nie może ukrywać się za grupami działającymi na jej zlecenie. Wspólnie z naszymi partnerami będziemy ujawniać takie działania, wzmacniać odporność i odpowiadać na zagrożenia hybrydowe ze strony rosyjskiego państwa” – zapowiedziała Yvette Cooper, brytyjska minister spraw wewnętrznych.
Lista operacji ciągnie się od ponad dekady
Od wyłączenia prądu w Ukrainie, przez włamanie do Bundestagu, po atak na operatora Kyivstar – według brytyjskiego raportu ta sama sieć jednostek GRU od ponad dekady prowadzi operacje wymierzone w państwa Zachodu.
Wśród najważniejszych operacji wymieniono m.in.:
- BlackEnergy (2015) – cyberatak na ukraińską sieć energetyczną. Bez prądu pozostało około 230 tys. odbiorców.
- Industroyer (2016) – kolejne uderzenie w system elektroenergetyczny Ukrainy. Około jednej piątej Kijowa zostało pozbawione energii elektrycznej na ponad godzinę.
- NotPetya (2017) – jeden z najbardziej kosztownych cyberataków w historii. Złośliwe oprogramowanie sparaliżowało ukraińskie instytucje, ale rozprzestrzeniło się na cały świat, powodując wielomiliardowe straty w gospodarce.
- Atak na Bundestag (2015) – wykradzenie danych z niemieckiego parlamentu, w tym korespondencji związanej z kanclerz Angelą Merkel.
- Wybory prezydenckie we Francji (2017) – włamanie do sztabu Emmanuela Macrona i publikacja ponad 21 tys. wiadomości e-mail tuż przed głosowaniem.
- Olimpijskie w Pjongczangu (2018) – malware „Olympic Destroyer” zakłócił funkcjonowanie systemów informatycznych obsługujących zawody.
- Kyivstar (2023) – według ukraińskiej Służby Bezpieczeństwa (SBU) Jednostka 74455 odpowiadała za cyberatak na największego operatora telekomunikacyjnego Ukrainy, z którego korzysta około 24 mln klientów.
Brytyjczycy podkreślają, że celem tych operacji było nie tylko zdobywanie informacji. Równie często chodziło o wywołanie chaosu, zastraszenie społeczeństwa oraz utrudnienie funkcjonowania państwa.
Hakerzy, cyberprzestępcy i propaganda. Brytyjczycy opisują model działania Kremla
Brytyjski wywiad twierdzi, że GRU nie ogranicza się do własnych oficerów. Rosyjskie służby mają zlecać część operacji cyberprzestępcom, finansować rozwój narzędzi hakerskich i rekrutować specjalistów na uczelniach.
GRU nie tylko korzysta z usług grup hakerskich, ale także finansuje rozwój nowych narzędzi wykorzystywanych później podczas operacji przeciw państwom europejskim i NATO.
Raport opisuje przypadki zlecania działań zewnętrznym wykonawcom oraz rekrutowania młodych informatyków na rosyjskich uczelniach. Dzięki temu część operacji może być prowadzona przez osoby formalnie niezwiązane z państwem rosyjskim, co utrudnia przypisanie odpowiedzialności. Dokument zwraca również uwagę na rosnące znaczenie operacji wpływu.
Brytyjczycy objęli sankcjami projekt African Initiative, który – według ustaleń Londynu – jest finansowany przez Rosję i wykorzystuje oficerów rosyjskich służb do prowadzenia kampanii wpływu w państwach Afryki. Portal od 2023 roku opublikował ponad 18 tys. artykułów w pięciu językach i prowadzi szeroko zakrojoną działalność w mediach społecznościowych.
Zdaniem autorów raportu pokazuje to, że cyberataki, propaganda i operacje informacyjne są dziś elementami jednej strategii prowadzonej przez Kreml.
„Rosyjskie służby wywiadowcze zlecają, a w niektórych przypadkach finansują działalność cyberprzestępców, aby wspierać operacje cybernetyczne i hybrydowe przeciw partnerom europejskim oraz sojusznikom z NATO” – informuje w raporcie rządu UK.