Războiul invizibil: Rusia a infiltrat lanțurile logistice NATO care aprovizionează Ucraina
0Un raport amplu, publicat de autoritățile poloneze la finalul lunii mai, scoate la iveală dimensiunea unei campanii cibernetice rusești desfășurate în tăcere timp de peste trei ani. Ținta: lanțurile logistice care alimentează Ucraina cu ajutor militar occidental.
Potrivit concluziilor formulate de Serviciul de Contrainformații Militare din Polonia (SKW) și Agenția de Securitate Internă (ABW), Rusia — prin intermediul unității militare GRU 26165, cunoscută și ca APT28 sau „Fancy Bear” — a desfășurat atacuri cibernetice complexe asupra infrastructurii critice din mai multe state NATO, relatează euromaidanpress.com.
Printre țintele atacurilor: noduri logistice din Polonia, puncte de trecere a frontierei și companii din domeniul transporturilor, telecomunicațiilor și IT. Obiectivul: obținerea de informații strategice privind fluxul de echipamente și muniții către Ucraina.
Operațiune GRU cu sprijin logistic și informatic extins
Campania, inițiată imediat după declanșarea invaziei ruse la scară largă în februarie 2022, a exploatat vulnerabilități informatice deja cunoscute — precum cele din Microsoft Outlook sau WinRAR — dar și breșe de securitate în aplicații de tip remote desktop și camere video conectate la internet.
Unitatea GRU implicată — 85th Main Special Service Centre — a vizat în special companii de logistică, aeroporturi, porturi maritime, infrastructura de management al traficului aerian, dar și rețelele IT ale unor instituții guvernamentale și firme private din Polonia, Ucraina, Germania, Franța, Italia, România, Slovacia și SUA.
Raportul a fost elaborat în colaborare cu instituții de intelligence și securitate cibernetică din Statele Unite (NSA, FBI), Marea Britanie, Germania, Canada, Franța, Estonia, Cehia și alte state europene.
Infiltrare discretă, acces de lungă durată
Atacurile au fost construite pe tehnici de tip spearphishing — e-mailuri personalizate care imitau corespondențe oficiale pentru a păcăli angajații să furnizeze date de acces. Odată intrați în sistem, atacatorii utilizau instrumente de escaladare a privilegiilor și malware dedicat (HEADLACE, MASEPIE) pentru a menține accesul și a extrage documente, credențiale și informații despre transporturile militare.
În multe cazuri, atacurile au fost imposibil de detectat luni sau chiar ani, GRU folosind aplicații legitime dar vulnerabile pentru a se mișca lateral în rețelele informatice compromise. Infrastructura Windows — în special controller-ele de domeniu și bazele de date Active Directory — a fost ținta favorită.
Camere de supraveghere, transformate în ochi ai GRU
Unul dintre cele mai tulburătoare elemente relevate de raport este utilizarea masivă a camerelor video civile conectate la internet. Potrivit SKW, peste 10.000 de astfel de dispozitive — din Polonia, Ucraina, Slovacia, România și alte state din regiune — au fost accesate de GRU folosind parole implicite sau protocoale nesecurizate. Imaginile obținute în timp real au permis cartografierea traseelor de transport ale convoaielor cu ajutoare militare sau umanitare.
Acest tip de spionaj pasiv, aproape invizibil, oferă un avantaj operațional considerabil Rusiei, mai ales în contextul în care multe dintre aceste puncte logistice nu sunt considerate, în mod tradițional, ținte militare.
Ținte diverse: de la producători de echipamente feroviare la firme IT
Raportul identifică victime dintr-o gamă variată de sectoare:
-companii de transport și logistică implicate în livrarea de echipamente militare;
-servicii de management al traficului aerian și comunicații radar;
-furnizori de servicii IT;
-infrastructură maritimă și portuară;
-producători de sisteme de control industrial și administratori de linii feroviare.
Multe dintre companiile afectate nu aveau cunoștință de accesul neautorizat. În unele cazuri, atacatorii modificau regulile de redirecționare a e-mailurilor sau programau sarcini automate pentru a reinfecta sistemele după fiecare actualizare de securitate.
Răspuns internațional și recomandări stricte de securitate
În plus față de diagnosticul campaniei GRU, raportul conține peste 40 de pagini de recomandări tehnice. Printre cele mai importante măsuri propuse:
-aplicarea imediată a patch-urilor pentru vulnerabilități cunoscute;
-implementarea autentificării multifactor și a principiului de „cel mai mic privilegiu”;
-auditarea tuturor aplicațiilor de acces de la distanță și a regulilor de redirectare a e-mailurilor;
-dezactivarea protocoalelor nesigure precum Telnet, SMBv1 sau RTSP;
-schimbarea imediată a parolelor implicite și actualizarea firmware-ului camerelor de supraveghere.
Apelul Poloniei: „Presupuneți că sunteți o țintă”
Într-o declarație publică, ministrul digitalizării din Polonia, Krzysztof Gawkowski, a avertizat că spațiul cibernetic este acum un câmp de luptă veritabil, iar companiile și instituțiile din țările NATO trebuie să își asume că sunt vizate de serviciile ruse.
„Trebuie să vorbim deschis despre aceste atacuri. Este responsabilitatea noastră să informăm, să prevenim și să construim o reziliență reală — împreună, dincolo de granițe.”