Cień na działaniach Rosji położył badacz Felike Hackueborn z Trend Micro. Jest on bowiem jedną z osób jaka ukazała tajne działania Moskwy. Pod pseudonimami Sednit, Pawn Storm oraz Fancy Bear kryje się putinowską bojówka. W odróżnieniu o innych tego rodzaju nie urządza marszy. Nie pojawia się publicznie, co czyni ją szczególnie niebezpieczną. Działa przez wykorzystanie nowoczesnej technologii. Hackueborn wskazuje, że używają oni broni cybernetycznej. Śledzenie ich aktywności od 2004 ukazuje, że Rosjanie działają długofalowo. Pod nazwą Strontium ukrywali się haktywiści na garnuszku Moskwy.

Pomimo upływu lat nie znikają. Trwają na posterunku. Tylko odkrywane ślady ich operacji pozwalają na identyfikowanie ich celów w ramach mediów, organizacji międzynarodowych, a także przemysłu obronnego i partii politycznych. Jedyne, co uległo zmianie w ich działaniu do sposób wykonywania operacji. Wcześniej koncentrowali się na kierunkowych uderzeniach za pomocą włamań metodą na wędkę (spear phishing). Dziś wolą atakowanie stron internetowych. Operują również przeciwko usługom w chmurze, co pokrywa się z tendencją obecnych firm zmierzających ku takim rozwiązaniom. Już teraz szacunki dla Polski mówią, że z tej metody korzystania z infrastruktury korzysta około trzech firm na dziesięć w naszym kraju. Liczby te jednak, ze względów ekonomicznych, będą rosły.

Sieciowi aktywiści Władimira Putina wykorzystują zarówno psychologię, jak i nigdzie jeszcze nie opisane błędy, tak zwane błędy dnia zero. Posługują się również wirusami do wykradania informacji. Obok tego tworzą również rozwiązania zawierające pakiet programowych wytrychów. Ujawniona obecnie operacja za pomocą infiltracji serwerów Microsoft Exchange stanowiła operacje wymierzoną w ambasady, firmy zbrojeniowe, rządy i wojsko.

Zaobserwowany już w maju 2019 roku schemat opierał się na wewnętrznej infiltracji. Jedną z metod było wysyłanie niechcianych treści. Za pomocą Open VPN sieciowi komuniści dostawali się wirtualnych sieci prywatnych używanych komercyjnie. Przez nie wysyłali paczki informacji (tak zwane UDP) na porcie 1194 do odpowiedniego serwera. Od tego momentu rozpoczynali działania zmierzające do wysyłania poczty przez komercyjny serwer pocztowy. Dzięki niemu docierali do swoich ofiar.

Na przełomie od maja do grudnia 2019 uderzyli w czterdziestu pięciu procentach na serwery pocztowe Zjednoczonych Emiratów Arabskich. Za nimi wśród ich celów znalazły się Indię (dziewięć procent), Pakistan (osiem procent), Jordania (siedem procent) oraz Stany Zjednoczone. Pozostałe kraje zajmowały na tej liście dwadzieścia sześć procent. Jako przykrywkę używali firm zbrojeniowych na Bliskim Wschodzie, ale nie jest jasne skąd wynikało to posunięcie.

Podszywali się pod producentów broni w trzydziestu ośmiu procentach. Sektor bankowy posłużył im za osłonę w jedenastu procentach. Za nimi znalazła się branża budowlana w dziewięciu procentach, rządy w ośmiu procentach. Jeśli chodzi o branże motoryzacyjną ataki dotyczyły siedmiu procent. Tyleż samo udziału w ukradzionych kontach miały linie lotnicze.

Na liście dotkniętych państw znalazły nie podane z nazwy firmy z Europy Południowej zajmujące się uzbrojeniem. Rosjanie dokonali również ataku na port lotniczy w Afryce. W południowej Ameryce operowali przeciwko wojsku oraz rządowi. Na terenie Niemiec zaatakowali firmę prawniczą, we Francji szkołę prywatną, Azji - firmę elektroniczną, w Skandynawii - partie, w Australii - chirurgów, w Holandii - firmę technologiczną, a w Europie Wschodniej przewoźnika kolejowego.

Ujawnione dane nie pokazują kto został dokładnie dotknięty. Również unikają szczegółów odnośnie operacji w 2020 roku, ale sieciowi komuniści znani w branży jako APT 28 nie próżnują. Tego bądźmy pewni. Operacje sieciowe dalej mają się w najlepsze. Teraz zyskują na znaczeniu, bo świecie po koronawirusie uzyskane dziś informacje będą bezcenne.

Jacek Skrzypacz