W kwietniu 2010 r. miał miejsce ogromny cyberatak na Polskę

W przededniu katastrofy smoleńskiej w 2010 r. i tuż po niej, miał miejsce największy cyberatak na Polskę. Zaatakowano systemy informatyczne największych banków i instytucji rządowych. Do dziś nie wyjaśniono kto stał za atakiem – ujawnia Nowy Ekran.

9 kwietnia 2010 r. doszło do poważnych awarii teleinformatycznych w dwóch największych bankach – PKO BP i Pekao SA. Tego samego dnia problemy z bankowością internetową zanotował również Alior Bank. Przez kilka godzin klienci tych banków byli pozbawieni dostępu do swoich kont internetowych. Ponowna awaria na wielką skalę nastąpiła trzy dni później, w poniedziałek 12 kwietnia. Przestały działać serwisy Pekao i Alior Banku. W oficjalnych komunikatach banki starały się raczej bagatelizować problem, nazywając zdarzenia „chwilowymi niedogodnościami”. Klientom nie wyjaśniono wówczas przyczyn awarii. Przed 10 kwietnia 2010 r. w tarapatach znalazły się również serwery polskiego MSZ. Media informowały, ze 6 kwietnia po południu poważna awaria serwerów sparaliżowała pracę MSZ. Rzecznik resortu Piotr Paszkowski uspokajał wówczas, że było to wynikiem jedynie „awarii zasilania” w jednym z budynków MSZ. Jak się później okazało awaria była znacznie poważniejsza, niż wynikało z lakonicznej wypowiedzi rzecznika. Po tym ataku poprawiono systemy zabezpieczające strony MSZ (Stąd zapewne brały się wczorajsze buńczuczne wypowiedzi ministra Radosława Sikorskiego, prowokujące hakerów do ataku na strony resortu).  

O tym z jak poważną sytuacją mieliśmy do czynienia świadczy fakt, że 7 kwietnia 2010 r. na stronach internetowych Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL pojawił się komunikat o możliwych atakach na komputery pracowników instytucji administracji publicznej. CERT.GOV.PL apelował o zachowanie nadzwyczajnych środków ostrożności przy przeglądaniu poczty internetowej zatytułowanej „The annual Cybersecurity meeting on April 05-08”, której nadawcy podszywając się pod Ministerstwo Obrony Estonii, przesyłali zakażone pliki PDF. Po ich otwarciu wykorzystując luki w programie Adobe Acrobat Reader infekowały komputer złośliwym oprogramowaniem.

 Nie znamy szczegółów związanych z tymi awariami, a zwłaszcza nie mamy odpowiedzi, czy były one wynikiem zmasowanych cybernetycznych ataków i czy odpowiadała za to Rosja. Poszlaki wskazują na to, że atak nastąpił z tego kierunku. Władza zamiast na śledztwie skupiła się na blokowaniu informacji o ataku, tak aby nie trafiła do opinii publicznej.

 Od kilku lat rosyjskie tajne służby organizują bądź inspirują cyberataki na kraje, których władze prowadzą politykę sprzeczną z interesami Kremla. Dotyczy to w szczególności tych krajów, które w przeszłości należały do ZSRR lub były w sowieckiej strefie wpływów. Do tego celu wykorzystywane są wyspecjalizowane i kontrolowane przez nie grupy hakerskie. Do tego celu rosyjskie służby przejęły kontrolę bądź stworzyły od podstaw grupy hakerów.

 Jedną z najbardziej aktywnych jest powstała na początku 2006 r. Russian Business Network (RBN) założona przez grupę młodych informatyków rosyjskich. Według amerykańskich ekspertów grupa ta ma na koncie wiele ataków na systemy bankowe w Europie i od początku należała do najbardziej aktywnych w światowej branży hakingu. RBN bardzo szybko została zauważona przez speców z FSB którzy  zaproponowali jej współpracę w zamian za abolicje za dokonane już wcześniej przestępstwa na terenie Rosji. Agresywna działalność RBN w ciągu ostatnich kilku lat dała się szczególnie we znaki wielu krajom byłego bloku sowieckiego.

Gdy 27 kwietnia 2007 r.  w Tallinie usunięto pomnik radzieckiego żołnierza, w tym samym dniu strony internetowe estońskiego parlamentu, ministerstw, banków zostały zblokowane bądź przekierowywały użytkowników na zupełnie inne strony. Podobny atak został wykonany na Litwie, gdy parlament litewski wprowadził zakaz  używania symboli b. ZSRR i niemieckiej III Rzeszy. W dniu 30 lipca 2008 r. ponad 300 internetowych stron różnych instytucji państwowych odczuło skutki tzw. cache poisoning czyli zatruwania poprzez umieszczenie na nich symboli komunistycznego ZSRR bądź wulgarnych napisów. Podobna sytuacja miała miejsce kilka tygodni przed rosyjską interwencją w Gruzji. W nocy z 19 na 20 lipca 2008 r. hakerzy z grupy RBN zaatakowali oficjalne strony internetowe prezydenta Gruzji Michaiła Saakaszwilego, oraz gruzińskich ministerstw spraw zagranicznych i obrony narodowej, doprowadzając do ich zablokowania na wiele godzin. Hakerzy RBN posłużyli się formą ataku określaną przez ekspertów jako DDoS (Distributed Denial of Service). Polega ona na zalewaniu upatrzonych serwerów gigantyczną ilością danych, co w konsekwencji powoduje ich przeciążenie, a w efekcie doprowadza do blokady.

 Eksperci ostrzegają, że tego typu ataki hakerów mogą poza zablokowaniem stron instytucji danego państwa doprowadzić do wycieku jego strategicznych informacji lub zniszczyć przechowywane na serwerach dokumenty niezbędne do nich funkcjonowania. W efekcie może  to doprowadzić do skutecznego paraliżu całego państwa.  Wszystkie wymienione przypadki to jedynie fragment cybernetycznej wojny będącej ważnym elementem rosyjskiej doktryny politycznej wymierzonej w państwa, które w przeszłości należały do strefy wpływów b. ZSRR.

 
Rosyjskie grupy hakerskie zainteresowały się Polską właśnie od 2008 r. Genezy zainteresowania rosyjskich hakerów należy szukać w okresie konfliktu zbrojnego z Gruzją, kiedy Polska poprzez działania Prezydenta Lecha Kaczyńskiego aktywnie wsparła prezydenta Gruzji M. Saakszwilego, mobilizując do swoich działań m.in. przywódców Łotwy, Litwy, Estonii oraz Ukrainy.  Wydaje się, że zainteresowanie rosyjskich hakerów Polską miało nie tylko wywrzeć presję, aby nasz kraj wycofał się z aktywnego poparcia dla Gruzji, ale również wycofał się z projektu amerykańskiej tarczy antyrakietowej. Już w lipcu 2008 r., jeszcze przed wojną z Gruzją Kreml groził "asymetryczną odpowiedzią" na budowę elementów tarczy antyrakietowej w Polsce i Czechach. Rosyjskie MSZ wydało wówczas oświadczenie, że jeśli Amerykanie rzeczywiście rozpoczną budowę systemu strategicznej obrony przeciwrakietowej u rosyjskich granic, to Moskwa "będzie zmuszona zareagować nie środkami dyplomatycznymi, lecz militarno- technicznymi". Dla rosyjskich strategów srodki techniczne to również wszelkie działania w obszarze cyberprzestrzeni. Ostrzegał przed tego rodzaju działaniami rzecznik amerykańskiego Pentagonu Geoff Morrell.

Od jesieni 2008 r.  rosyjscy hakerzy interesowali się w szczególności sieciami teleinformatycznymi polskich banków. Pierwsze problemy, które mogły wskazywać na zmasowany atak hakerów odnotował Bank PKO BP. 7 lutego 2009 r. miała miejsce kilkunastogodzinna przerwa w działaniu systemu elektronicznego kont Inteligo banku PKO BP. Użytkownicy nie mogli wówczas wypłacić pieniędzy ani zalogować się na konta.  Sytuacja ta powtórzyła się po kilku dniach raz jeszcze.

Znacznie więcej prób ataków odnotowano w  pierwszym kwartale 2010 r. Poważne problemy ze swoimi sieciami teleinformatycznymi miało wówczas wiele banków komercyjnych. Jednak nie informowano o przyczynach tych awarii opinii publicznej z uwagi na możliwość odstraszania ich klientów. Do prawdziwego skomasowania ataków doszło w pierwszej połowie kwietnia 2010 r. Eksperci bankowi bagatelizowali to zjawisko, starając się tłumaczyć sytuację technicznymi awariami tych sieci jakie mogą przecież się zawsze zdążyć. Tymczasem problemy jakie zanotowano wydawały się znacznie bardziej poważne niż mogło to wynikać z enigmatycznych doniesień prasowych.

Analiza  dotychczasowych rosyjskich cyberataków na systemy teleinformatyczne Estonii, Litwy Gruzji może wskazywać, ze następują one zawsze w sytuacjach, gdy w krajach będących przedmiotem takich ataków były podejmowane polityczne decyzje odbierane na Kremlu jako sprzeczne z rosyjską racja stanu i rosyjskimi interesami. To właśnie wówczas atakowane były ważne segmenty teleinformatycznej infrastruktury tych państw. W ich efekcie następowała dezorganizacja funkcjonowania organów państwowych na co najmniej kilka dni. Niewątpliwie wywoływało to atmosferę politycznej presji i mogło być sygnałem dla rządów tych państw do wycofania się z wcześniejszych posunięć. Czas i miejsce takich ataków zawsze bowiem  były zsynchronizowane z konkretnymi wydarzeniami i konkretnymi decyzjami, jakie w związku z nimi zapadały.