Próba włamania do MSZ miała miejsce w grudniu. Jak ustaliła „Rzeczpospolita", do kilku pracowników resortu trafił e-mail dotyczący rzekomego oświadczenia sekretarza generalnego sojuszu północnoatlantyckiego po spotkaniu Rady NATO–Rosja. Otwarcie załącznika skutkowałoby instalacją tzw. konia trojańskiego i kradzieżą danych.
– Atak był wyjątkowo wyrafinowany – mówi Mariusz Burdach z firmy Prevenity ochraniającej polskie instytucje publiczne. Wyjaśnia, że cyberszpiedzy wykorzystali niedawno odkryty błąd w programie Adobe Flash Player. – Poprawili też jakość wykorzystywanego przez siebie wcześniej konia trojańskiego. Zajmował mniej miejsca i łatwiej się instalował – dodaje.
O tym, że atak był trudny do wykrycia, informuje też sam resort dyplomacji. – Sprawę komplikował fakt, że został on przeprowadzony z użyciem serwera Ministerstwa Spraw Zagranicznych jednego z krajów Ameryki Łacińskiej – wyjaśnia nam biuro prasowe resortu. Dodaje, że szpiedzy wcześniej uzyskali dostęp do wspominanego serwera, by wykorzystać go do uwiarygodnienia się przed polskimi urzędnikami.
Zarówno Prevenity, jak i MSZ nie mają wątpliwości, że za atakiem stał zespół APT28, znany też pod pseudonimami Sofacy i Fancy Bear. To obecnie najsłynniejsza grupa cyberszpiegowska świata.
GRU w akcji
Ma na swoim koncie m.in. włamania do niemieckiego parlamentu i francuskiej telewizji TV5 Monde. W ubiegłym roku cyberszpiedzy zaatakowali Światową Agencję Antydopingową i OBWE, a ostatnio instytucje rządowe w Norwegii. APT28 najbardziej znana jest jednak z działalności w Stanach Zjednoczonych. To ona przejęła e-maile od polityków Partii Demokratycznej, które zostały ujawnione w końcówce kampanii, co przyczyniło się do zwycięstwa Donalda Trumpa.
