Pierwszy krok ws. sankcji przeciwko rosyjskim hakerom
13 czerwca 2020
Angela Merkel jest znana ze swojego trzeźwego sposobu bycia. Ale w maju, przemawiając w Bundestagu, w nietypowy dla siebie sposób okazała emocje. Okazją jej wystąpienia było pytanie posłanki Zielonych Tabei Rösner, która chciała wiedzieć, jakie dane i w jakim celu wykradziono z biura kanclerz podczas hakerskiego ataku na niemiecki parlament w 2015 roku.
Merkel stwierdziła, iż odniosła wrażenie, że dane były wybierane na chybił trafił. Powiedziała też, że cieszy się, iż federalny prokurator generalny umieścił na liście ściganych „konkretną osobę”, po czym podkreśliła: „Traktuję tę sprawę bardzo poważnie, bo jestem przekonana, że śledztwo zostało przeprowadzone bardzo starannie i muszę szczerze powiedzieć: to boli” – przede wszystkim dlatego, że akurat sama od lat zabiegam o poprawę stosunków z Rosją“.
Kanclerz mówiła o „wiarygodnych dowodach”, że to rosyjskie siły kryją się za kradzieżą z sieci Bundestagu co najmniej 16 GB danych, dokumentów i e-maili – w tym tysiące e-maili wysłanych z biura poselskiego Merkel – i powiązała ten atak cybernetyczny z rosyjską „strategią wojny hybrydowej, której częścią jest dezorientacja i przeinaczanie faktów”.
Publiczne obarczenie winą
Majowe wystąpienie kanclerz w Bundestagu było zwrotem w publicznym postrzeganiu rosyjskich cyberataków. Zwrotem, który kilka dni wcześniej zainicjował federalny prokurator generalny: Peter Frank wydał w końcu kwietnia międzynarodowy nakaz aresztowania Dmitrija Badina. Śledczy są przekonani, że właśnie 29-letni Rosjanin kryje się za spektakularnym atakiem na system informatyczny Bundestagu dokonanym wiosną 2015. Wirus tak głęboko wtargnął w sieć niemieckiego parlamentu z blisko 6 tys. komputerami posłów, że trzeba było od nowa zbudować cały system.
Niemcy długo unikali wyraźnego i publicznego przypisywania ataku członkom rosyjskich służb specjalnych. Zmieniło się to z nakazem aresztowania wydanym przez prokuraturę i z wypowiedziami kanclerz, mówi Julia Schütze. Schütze jest szefową projektu „Międzynarodowa polityka bezpieczeństwa cybernetycznego” prowadzonego przy berlińskim think tanku „Fundacja Nowa Odpowiedzialność” (SNV). Ekspertka w dziedzinie bezpieczeństwa cybernetycznego widzi w oskarżeniu Badina dowód, że „Niemcy potrafią być wytrwali, jeżeli chodzi o uzyskanie broniących się w sądzie, jednoznacznie przyporządkowanych dowodów – które mogą doprowadzić także do działań politycznych”.
System sankcji cybernetycznych UE
Kroki polityczne są w przygotowaniu. W końcu maja MSZ w Berlinie zaprosił na dywanik ambasadora Rosji Siergieja Nieczajewa. Ambasador nie tylko musiał wysłuchać, że rząd RFN „w najwyższym stopniu potępia” hakerski atak, ale też, że rząd federalny będzie „zabiegał w Brukseli o sięgnięcie po narzędzie, jakim jest unijny system sankcji cybernetycznych i skierowanie go przeciwko odpowiedzialnym za cyberatak na Bundestag, w tym przeciwko panu Badinowi”.
Mechanizm unijnego systemu sankcji cybernetycznych zatwierdziła 17 maja 2019 Rada UE. W przypadku ataków, które wywołują „poważne skutki”, Unia może odtąd nałożyć sankcje na odpowiedzialne za nie osoby i podmioty. Grozi im między innymi zakaz wjazdu do UE czy zamrożenie aktywów. Cyberekspertka Schütze dostrzega wartość tych środków przede wszystkim w ich „polityczno-strategicznej symbolice”.
Kroki zapowiedziane w rozmowie z ambasadorem Nieczajewem, powoli nabierają kształtów. „Rząd federalny przygotował propozycje sankcji w związku z atakiem hakerskim i w ramach przewidzianego w takim przypadku mechanizmu jest w ścisłym kontakcie z partnerami unijnymi”, poinformowało niemieckie MSZ na pytanie DW. Proces ten rozpoczyna się pracą grupy roboczej przy Radzie UE „Horizontal Working Party on Cyber Issues”. Według medialnych doniesień 3 czerwca niemieccy dyplomaci przedłożyli w Brukseli listę sankcji. Z pewnością ważne miejsce zajmuje na niej Dmitrij Badin.
Adres: służby specjalne
Także FBI wysuwa poważne zarzuty wobec Badina – ma on być jedną z osób, które w kampanii wyborczej 2016 ukradły i opublikowały e-maile Hillary Clinton, by zmanipulować wybory na rzecz Donalda Trumpa.
Również internetowy serwis śledczy Bellingcat mówi o powiązaniach Baldina z rosyjskim wywiadem GRU – jego oficjalny adres zamieszkania jest identyczny z oficjalnym adresem jednostki GRU 26165.
Owiana złą sławą jednostka znana jest pod różnymi nazwami: przede wszystkim jako Fancy Bear, ale też Sofacy, Pawn Storm lub Sednit. Eksperci IT, podobnie jak niemiecka służba ochrony konstytucji, preferują raczej techniczne określenie – APT28. APT: „Advanced Persistent Threat" oznacza tyle, co „zaawansowane, uporczywe zagrożenie“.
APT28 jest rzeczywiście uporczywa. Zajmująca się cyberbezpieczeństwem firma FireEye już od 2007 r. obserwuje tę cyberjednostkę na usługach Kremla. I kojarzy ją nie tylko z hakerskim atakiem na Bundestag, ale też z mnóstwem innych – choćby na Światową Agencję Antydopingową WADA, OBWE czy NATO.
Pomoc z Niderlandów
Przypisanie cyberincydentu jego sprawcom, tak zwana atrybucja, jest trudne. W wirtualnej przestrzeni łatwo umieścić fałszywe tropy, zamazać ślady. Często istnieją wprawdzie uzasadnione poszlaki i wskazówki techniczne, które wystarczają służbom wywiadu. Ale sądy muszą mieć jednoznaczne dowody.
Dla niemieckich śledczych ważna jest pomoc prawna świadczona przez Niderlandy. Tamtejszy kontrwywiad zdołał zapobiec w 2018 r. cyberatakowi na główną siedzibę Organizacji ds. Zakazu Broni Chemicznej (OPCW). Przy tej okazji Holendrom wpadło w ręce mnóstwo wyposażenia technicznego, co – jak mówi Julia Schütze z SNV, dostarczyło federalnemu prokuratorowi generalnemu dowody prowadzące prosto do Badina i GRU.
Nota bene wystarczy rzut oka akurat na stronę internetową prokuratury generalnej, by sobie uświadomić, że cyberataki mogą nadejść zewsząd: „Do najbardziej znanych należy dochodzenie ws. podsłuchu telefonu komórkowego kanclerz Merkel prowadzonego przez amerykański wywiad”, czytamy na stronie prokuratury. „Podejrzenia nie można było udowodnić. W czerwcu 2015 sprawa została umorzona”.
W przypadku Badina i GRU Niemcy będą chciały przypuszczalnie skorzystać ze swojej prezydencji w Radzie UE, którą obejmują w lipcu 2020, by cyberatak na Bundestag nie pozostał bez konsekwencji.