Информация о неудавшейся кибератаке на польский МИД появилась 29 января на сайте ежедневной газеты Rzeczpospolita, при этом сама попытка взлома была совершена в декабре 2016 года. Сведения об этом происшествии журналистам предоставил пресс-центр польского МИДа, однако на официальном сайте ведомства нет никакой информации о попытке кибератаки.
Обнаружить угрозу взлома было не так просто: злоумышленники заранее получили доступ к серверу представительства польского МИДа в Латинской Америке и позже воспользовались этим каналом для рассылки писем якобы с официальным заявлением генерального секретаря Североатлантического альянса Йенса Столтенберга после встречи Совета НАТО — Россия 19 декабря 2016 года. Вместо текстового файла в приложении к письмам находилась вредоносная троянская программа, установка которой позволила бы хакерам получить доступ к данным министерства.
Внутренняя поверка системы безопасности показала, что атака была тщательно спланирована.
«Кибершпионы воспользовались обнаруженной недавно уязвимостью в Adobe Flash Player, также они усовершенствовали использованный ими же ранее «троянский конь» — он стал занимать меньше места и легче устанавливаться на компьютер», — прокомментировал ситуацию Мариуш Бурдах, представитель компании Prevenity, которая занимается информационной безопасностью публичных учреждений в Польше.
Министерство иностранных дел и Prevenity уверены, что за кибератакой стоит хакерская группа APT28, представители которой также известны под псевдонимами Sofacy и Fancy Bear.
Хотя большинство крупнейших международных компаний, занимающихся кибербезопасностью, считают, что АРТ28 является отделом Главного управления Генерального штаба Вооруженных сил РФ (бывшее Главное разведывательное управление), официальных доказательств о принадлежности группы APT28 к российской разведке нет.
Несмотря на заявление пресс-центра МИДа о том, что «кибератаку удалось предотвратить», польским чиновникам просто-напросто повезло. В социальных сетях и комментариях под новостью в различных СМИ пользователи шутили: мол, зараженный файл никто не открыл, потому что в МИДе никто писем вообще не читает.
«Департамент отразил атаку, не открыв приложение в письмах. Ну, сейчас посыплются ордена! Кто получит «Белого орла»?», «Такие e-mail-атаки я по несколько раз в неделю предотвращаю», — шутят пользователи популярного новостного портала Wirtualna Polska.
Дипломаты из Сан-Эскобара
В обсуждениях новости на сайте издания Gazeta.pl появилось множество шуток про серверы МИДа в Латинской Америке — пользователи предполагали, что они были расположены в Сан-Эскобаре.
Почвой для этих шуток стало недавнее выступление министра иностранных дел Витольда Ващиковского, во время которого он заявил, что Польше впервые за всю историю дипломатии удалось завязать дружеские отношения с государством Сан-Эскобар.
Позже выяснилось, что такого государства не существует, и прокол главы МИДа вызвал град насмешек у польского интернет-сообщества. В «Википедии» сразу же появилась статья о Сан-Эскобаре, а художник Ярек Кубицкий даже создал подробную карту несуществующей страны, соседями которой в том числе являются Леголенд и Вэстерос.
Отдел реагирования против русских атак
МИД в свое оправдание заявил, что «в связи со спецификой своей работы министерство в особенности подвержено кибератакам», но после декабрьского случая будут приняты меры по укреплению безопасности. В частности, будет создан специальный отдел реагирования на компьютерные инциденты.
Однако польские специалисты по кибербезопасности подчеркивают, что правительство Польши плохо подготовлено к такого рода случаям. «В большинстве госучреждений атака АРТ28 могла пройти успешно», — считает Мариуш Бурдах.
Слова экспертов подтверждают успешные случаи взлома других польских ведомств. В частности, в 2012 году, после того как Польша подписала Международное соглашение по борьбе с контрафактной продукцией (ACTA), хакерская группа Anonymous совершила DDOS-атаки на сайты президента Польши и канцелярии премьер-министра, сейма, министерства культуры и других государственных учреждений.
Министерство обороны Польши также несколько раз подвергалось хакерским атакам: в 2014 году взлом был совершен группой АРТ28, а в 2016 году группой «Правый сектор» (запрещена на территории России) — тогда злоумышленники получили доступ к рабочей сети минобороны и слили в сеть несколько внутренних документов, в том числе фотографии и анкеты польских кандидатов, участвующих в тайной американской шпионской программе PRISM.
Катерина Сапожникова