Rosjanie kryją się za cyberatakiem na niemiecki parlament

Był to atak, którego Niemcy nigdy wcześniej nie doświadczyły. Wiosną 2015 r. hakerzy przeniknęli do systemu informatycznego Bundestagu i wykradli ponad 16 gigabajtów danych, w tym e-maile posłów. Według urzędów bezpieczeństwa cyberatak był częścią kampanii szpiegowskiej APT28, znanej również jako „fancy bear”. Za akcją miały stać rosyjskie tajne służby.

Nie tylko Bundestag

Niemieckim śledczym udało się teraz zidentyfikować podejrzanego, odpowiedzialnego za cyberatak – ustalili dziennikarze rozgłośni WDR, NDR i dziennika „Sueddeutsche Zeitung”. To 29-letni rosyjski haker Dmitrij Badin, który ma pracować dla rosyjskiego wywiadu wojskowego GRU. Federalny prokurator generalny otrzymał od Federalnego Trybunału Sprawiedliwości międzynarodowy nakaz aresztowania Rosjanina.

Od dwóch lat Badina szukają także Amerykanie, przypuszczając, że brał udział w cyberatakach  na Demokratów przed wyborami prezydenckimi w 2016 r. oraz na Światową Agencję Antydopingową (WADA). Amerykański śledczy Robert Mueller, który badał wpływ Rosji na wybór Donalda Trumpa, już w 2018 r. postawił zarzuty Badinowi w obu przypadkach.

Jednostka 26165

W Niemczech Federalnemu Urzędu Kryminalnemu (BKA), który prowadzi dochodzenie w sprawie cyberataku na Bundestag, udało się zidentyfikować Badina jako jednego z podejrzanych hakerów i ustalić jednostkę GRU, w której pracuje: 26165.

Według BKA Badin odegrał decydującą rolę w ataku hakerskim na niemiecki parlament. Śledczy zakładają, że 7 maja 2015 posłużył się co najmniej jednym własnym oprogramowaniem o nazwie „VSC.exe”, by wykraść hasła i jeszcze głębiej przeniknąć do systemu informatycznego.

E-maile z ONZ

W kwietniu 2015 r. wielu posłów do Bundestagu niemal jednocześnie otrzymało e-maila o nazwie „Konflikt Ukrainy z Rosją rujnuje gospodarkę”. Adres nadawcy kończył się na @un.org i sprawiał wrażenie, jakby rzeczywiście pochodził z ONZ. Link zawarty w e-mailu prowadził do rzekomego raportu ONZ. W rzeczywistości pod linkiem było oprogramowanie, które niepostrzeżenie instalowało się na komputerze.

W następnych tygodniach hakerzy mogli penetrować sieć Bundestagu. Zdobyli też hasła i konta administratorów sieci, co pozwoliło im na dostęp do wielu dokumentów. Łupem hakerów padły m.in. e-maile posłów, które znalazły się na zagranicznym serwerze. Aby przerwać atak, trzeba było na jakiś czas całkowicie wyłączyć sieć.

Groziło przedawnienie

Firma zajmująca się bezpieczeństwem IT zaalarmowała Federalny Urząd Ochrony Konstytucji w maju 2015 r., ponieważ podejrzane serwery najwyraźniej komunikowały się z komputerami w Bundestagu. W rezultacie niemieckie organy bezpieczeństwa rozpoczęły dochodzenie.

Analiza plików, monitoring serwerów, zbadanie wykorzystywanego oprogramowania i informacje od zagranicznych służb naprowadziły niemieckich śledczych na ślad Badina.

Dla Prokuratury Federalnej i śledczych BKA nakaz aresztowania rosyjskiego oficera GRU to wielki sukces, także z uwagi na presję czasu. Za kilka tygodni zarzut szpiegostwa uległby przedawnieniu.

(ARD/dom)