Cyberataki na infrastrukturę krytyczną, banki, instytucje rządowe i samorządowe, wynajmowanie przez Internet kryminalistów i członków mniejszości rosyjskiej do sabotażu i działań wywiadowczych – Rosja już nawet nie kryje się z wojną hybrydową jaką wydała Zachodowi i nie obchodzi ją czy wykonawcy zostaną złapani i wskażą mocodawców. Jej celem jest wywołanie chaosu i jak największych zniszczeń w europejskiej gospodarce.
W pierwszym tygodniu maja zespoły CERT Polska (CSIRT NASK) oraz CSIRT MON zaobserwowały bardzo szeroko zakrojoną kampanię rozsyłania malware wymierzonych w polskie instytucje rządowe. Z nieoficjalnych informacji zdobytych przez ISBiznes.pl wynika, że nie tylko one były celem – kampania trafiła też do instytucji samorządowych. Zaczyna się od phishingu – maila, który ma zaciekawić rozmówcę i spowodować, by kliknął w zawarty w nim link. Nie kieruje on przy tym do strony z zawartym na niej malware – z tak prostych środków pomysłodawcy kampanii zrezygnowali już dawno, były zbyt łatwe do zdemaskowania. Link kieruje na nieszkodliwą stronę deweloperską, bowiem ważne jest to, co z niej pobierze. Tym „czymś” jest plik wykonywalny, odsyłający też do niewinnej strony, gdzie jednak zawarty jest skrypt, którego działanie sprawdzi zawartość komputera ofiary i prześle do zleceniodawców.
„Na podstawie wskaźników technicznych i podobieństwa do ataków opisywanych w przeszłości (m.in. na podmioty ukraińskie) można powiązać kampanię ze zbiorem aktywności APT28, który jest kojarzony z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU)” – stwierdza CERT Polska w opisie ataku.
Według analiz izraelskiej firmy bezpieczeństwa Check Point Software, polskie firmy i instytucje atakowane są co tydzień średnio 1430. To środkowoeuropejskie drugie miejsce, po Czechach z 2000 ataków tygodniowo. Na trzecich co do liczby ataków Węgrzech jest to 1390 razy, w Niemczech 1011, na Łotwie 660. Najaktywniejszymi grupami są rosyjskie, białoruskie i chińskie, jak choćby rosyjska NoName057, która prowadziła ataki na portale Polskiego Radia, Portu Gdynia, serwisy gov.pl i ePUAP.pl oraz strony woj. lubelskiego.
Z kolei Rumunia, jako państwo członkowskie UE, które ma najdłuższą granicę z Ukrainą, od początku wojny odnotowuje wzrost liczby cyberataków na niektóre kluczowe instytucje i polityków UE. Podczas jednego z ataków na bazę danych parlamentu hakerzy ukradli dane identyfikacyjne premiera Marcela Ciolacu i umieścili je w Dark Webie zmuszając do zmiany dokumentu tożsamości.
Większość tych ataków nie jest prowadzona przez „zwykłe” podziemie kryminalne. Grupy te należy bowiem łączyć z „aktorami państwowymi”, zwykle chodzi tu o związki z czymś, co sami Rosjanie z pewnym przekąsem nazywają „Święta Trójcą” – wywiadami FSB, GRU i SWR.
Poza działaniami hackerskimi i propagandą, niejednokrotnie bardzo toporną, jak choćby opowieści o „polskich i amerykańskich najemnikach” prowadzących rzeczywistą walkę na Ukrainie, doszedł nowy element rosyjskiej wojny hybrydowej – sabotaż. Zapowiadał go już minister obrony Rosji Siergiej Szojgu w różnych wypowiedziach poczynając od lutego br. Dmitrij Miedwiediew, były prezydent i premier, obecnie wiceprzewodniczący Rady Bezpieczeństwa Federacji Rosyjskiej, groził nawet działaniami sabotażowymi, które „zniszczą zachodnią pewność siebie i gospodarkę”.
Istotnie, próby angażowania ochotników już były i co ciekawe, z zeznań aresztowanych sabotażystów wynika, że medium do takich działań był głównie Internet: grupy, fora, sieci społecznościowe i komunikatory, jak Telegram, oraz witryny prorosyjskie i emigracyjne skupiające Rosjan na Zachodzie. Trzeba bowiem zaznaczyć, że, jak ujął to szwedzki analityk militarny, „jest ogólnie znane, że mniejszość rosyjska i Rosjanie przebywający w krajach Zachodu na pobyt stały mają wyjątkowo duże problemy z lojalnością”, tj. nie bardzo wiedzą czy mają być lojalni wobec kraju w którym żyją, czy też wobec „Matuszki Rassiji”. Łatwo ulegają naciskom i podszeptom o „wielkim zadaniu do wykonania”, roli „agenta, który może uratować Rosję” lub też „żołnierza wolności, jak bohaterowie Wielkiej Wojny Ojczyźnianej”.
W efekcie dochodzi do takich sytuacji jak w Niemczech, gdzie przez Internet rosyjski wywiad zwerbował dwóch miejscowych „Niemców nadwołżańskich”, czyli Rosjan z pochodzeniem niemieckim, którzy do Niemiec przybyli jako nastolatkowie. W Estonii zwerbowano dwóch Rosjan z przeszłością kryminalną, by za dość niewielką gażę w euro zdewastowali samochód ministra i pomniki narodowe. Najwyższa rada obrony Rumunii ostrzegła w kwietniowym raporcie o potencjalnej infiltracji rosyjskich szpiegów ukrytych wśród ukraińskich uchodźców, a nawet potencjalnych sabotażach transportu wojskowego na Ukrainę.
3 kwietnia przez CBŚP na terenie Warszawy zostało zatrzymanych dwóch mężczyzn – Polaków, którzy na zlecenie rosyjskiego wywiadu 12 marca ciężko pobili w Wilnie Leonida Wołkowa, rosyjskiego opozycjonistę, współpracownika prawdopodobnie zamordowanego w łagrze Aleksieja Nawalnego. Wszystkie te trzy aresztowania łączy jedno – bandyci zostali wynajęci przez grupę specjalną rosyjskiego wywiadu wojskowego GRU, który stoi za coraz bardziej jawnymi, skoordynowanymi i częstymi napadami i aktami sabotażu.
Z kolei FSB stoi za stworzeniem w Polsce siatki rozpoznającej lotnisko w Rzeszowie i inne porty lotnicze związane z pobytem ukraińskich polityków oraz transportem broni, sprzętu i wyposażenia dla Ukrainy, a także przygotowywaniem prawdopodobnego zamachu na prezydenta Ukrainy Wołodymyra Zełenskiego. W tej sprawie aresztowano kilka osób.
W Wielkiej Brytanii rozpoczął się właśnie proces wynajętego człowieka, który podpalił ukraiński magazyn we wschodnim Londynie. Po ujawnieniu tego aktu sabotażu Wielka Brytania wydaliła czołowego rosyjskiego dyplomatę pełniącego podwójną rolę, czyli kontaktującego się z miejscowymi agentami, w ramach rozprawy z rosyjską siatką szpiegowską. W kwietniu w Niemczech aresztowano dwóch mężczyzn, którym przedstawiono zarzuty planowania „możliwych działań sabotażowych” przeciwko obiektom wojskowym i przemysłowym, w tym obiektom należącym do USA. Na przykład w amerykańskiej bazie wojskowej w Grafenwoehr, gdzie ukraińscy żołnierze szkolą się na czołgach Abrams.
Na razie ataki te skierowane są głównie na rosyjskich opozycjonistów, Ukraińców przebywających na Zachodzie, zwłaszcza aktywistów, pomoc gospodarczą dla Ukrainy, ale nie można zapominać o słowach Miedwiediewa, który jednoznacznie zapowiedział „zemstę” na politykach zachodnich, wojskowych, a nawet analitykach wspierających Ukrainę. Według informacji pochodzących ze Szwecji, można spodziewać się nasilenia różnego typu aktów – od propagandy, kolportowania w Sieci deep fake na temat niewygodnych dla Rosji polityków, aż po bezpośrednie ataki na poszczególnych polityków czy aktywistów przed wyborami do Europarlamentu. Chodzi nie tylko o wywołanie chaosu, ale i o zastraszenie i wprowadzenie do PE „ugodowców” dążących za wszelką cenę do porozumienia z Rosją kosztem Ukrainy.
Jak powiedziała Margo Palloson, która kieruje Służbą Bezpieczeństwa Wewnętrznego Estonii, w kraju tym na początku obecnego roku aresztowano kilkanaście osób podejrzanych o pracę dla rosyjskiego wywiadu. Chodziło o zdobycie wpływów, zwłaszcza na media i przygotowanie sabotażu. Wywiad Litwy ostrzegł w maju, że Rosja próbuje zatrudniać mieszkańców krajów bałtyckich do przeprowadzania prowokacji lub ataków.
„Coraz częściej wykorzystuje się w tym celu platformy społecznościowe, w których przez reklamy wyszukuje się osoby do rekrutacji, chętne do szpiegowania za opłatą, fotografowania infrastruktury obiektów wojskowych o znaczeniu strategicznym, gromadzenia danych o politykach czy innych ważnych przedstawicielach życia społecznego i przeprowadzania aktów sabotażu lub wandalizmu” – stwierdziła agencja w oświadczeniu.
Według informacji łotewskiego wywiadu wojskowego, najważniejsze dla rosyjskich wywiadów jest jednak wywołanie chaosu w gospodarce. Przywoływany jest tu przykład Balticconnector – 77-kilometrowego gazociągu biegnącego po dnie Zatoki Fińskiej i łączącego fińskie miasto Inkoo z estońskim Paldiski, uszkodzonego 8 października 2023 r. w „bardzo niejasnych okolicznościach, jednoznacznie wskazujących na podwodny sabotaż” oraz tajemniczego zniszczenia trzech z czterech nitek gazociągu podmorskiego Nord Stream 1 i 2 we wrześniu 2022 roku.
Według jednego z urzędników kierujących brytyjskim wywiadem nowością jest to, że „Rosja przestała dbać o to czy wykonawcy jej działań zostaną złapani”. Jeśli to się stanie, Rosjanie zachowują się jak w przypadku pobicia Wołkowa – oskarżają, że cała sprawa była „polską prowokacją” i że – mimo jednoznacznych dowodów – nie mają z tym nic wspólnego. Rzecznik Kremla Dmitrij Pieskow powiedział dziennikarzom, że zarzuty, że Rosja planuje akty sabotażu w Europie, to „kolejna seria bezpodstawnych oskarżeń kierowanych pod adresem naszego kraju”.
Jak powiedział Bloomberg jeden z urzędników europejskich prawdopodobnie powiązany z francuskim wywiadem, wszystkie te operacje są częścią kampanii koordynowanej przez GRU, w której biorą udział inne wywiady – FSB i zagraniczny SWR. Jest wysoce prawdopodobne, że to nowa strategia, skierowana na całą Europę, która została zaaprobowana na najwyższym szczeblu w Moskwie. Europejska reakcja koncentruje się na tych działaniach, które już nastąpiły i gdzie można „złapać Rosję z dymiącym pistoletem” i pokazaniu Moskwie, że „Zachód wie, co robi i jakie są tego konsekwencje”.
„Manipulując percepcją nieuchronności wojny i aktywnością hybrydową Rosja będzie chciała pokazać, że jest gotowa na konflikt z Sojuszem. W ciągu najbliższych miesięcy można się zatem spodziewać nasilenia wojny informacyjnej, zwłaszcza w państwach, gdzie odbędą się ważne wybory, np. w USA. Jednym z rosyjskich celów będzie zwiększanie polaryzacji społecznej oraz promowanie polityków kwestionujących zobowiązania sojusznicze w ramach NATO. Rosja najpewniej nasili także wykorzystanie innych narzędzi hybrydowych, w tym wrogiej aktywności w cyberprzestrzeni oraz działań sabotażowych wymierzonych w infrastrukturę krytyczną zwłaszcza w państwach wschodniej flanki oraz regionu Morza Bałtyckiego. Szczególnie wrażliwa będzie infrastruktura portowa, kolejowa oraz energetyczna, ale też będące pozostałością I i II wojny światowej składowiska broni chemicznej na dnie Bałtyku, których celowe uszkodzenie może doprowadzić do skażenia znacznego obszaru tego morza. Możliwy jest też wzrost liczby rosyjskich prowokacji wojskowych, w tym niebezpiecznych incydentów na morzu i w powietrzu, a także prowadzenie niezapowiedzianych ćwiczeń na Morzach Bałtyckim, Barentsa i Północnym o wrogich wobec NATO scenariuszach” – pisze analityczka działań Rosji, Anna Maria Dyner, z Polskiego Instytutu Spraw Międzynarodowych
„Rosja od lat wysyła szwadrony śmierci do Europy – do Berlina, Londynu, Salisbury, ale także do innych miejsc. Kilka miesięcy temu mieliśmy terrorystę zwerbowanego przez Rosję, który próbował dokonać aktu terrorystycznego w Polsce i jestem pewien, że próbują tego dokonać także w innych krajach” – powiedział w Tallinie minister spraw zagranicznych Radosław Sikorski.
Teija Tiilikainen, kierująca Europejskim Centrum Doskonałości ds. Zwalczania Zagrożeń Hybrydowych, widzi w tych działaniach Rosji próbę pokazania siły autorytarnego reżimu i być może przygotowanie także na eskalację konfliktu z Zachodem poprzez testowanie różnych narzędzi oddziaływania – od propagandy po otwarte działania sabotażowe. Pozostając poniżej progu ataku zbrojnego i zobowiązania NATO w zakresie zbiorowej obrony, znanego jako Artykuł 5, „Rosja stara się jak najlepiej wykorzystać swoją władzę, jednocześnie unikając kontrataków lub natychmiastowych środków zaradczych” – dodaje.
