– Cyberprzestrzeń to dziś pole realnej walki o bezpieczeństwo państw. Działania GRU dotyczą instytucji publicznych, firm i obywateli. Musimy mówić o tym głośno, by nikt nie był zaskoczony, gdy padnie ofiarą. Naszym obowiązkiem jest informować, ostrzegać i budować odporność – wspólnie, ponad granicami – mówi wicepremier i minister cyfryzacji Krzysztof Gawkowski, pełniący jednocześnie funkcję Pełnomocnika Rządu ds. Cyberbezpieczeństwa.

Rosyjskie GRU – jednostka wojskowa 26165 – prowadzi od 2022 roku kampanię cyberszpiegowską wymierzoną w firmy zaangażowane w pomoc dla Ukrainy. Chodzi m.in.o przedsiębiorstwa zajmujące się transportem morskim, lotniczym i kolejowym, zarządzaniem ruchem lotniczym, obsługą centrów logistycznych, a także firmy świadczące usługi IT.

Działania te mają zasięg międzynarodowy – atakowane są podmioty z wielu krajów NATO, w tym z Polski. GRU pozyskuje informacje o trasach i terminach dostaw, lokalizacjach przeładunku, danych nadawców i odbiorców sprzętu wojskowego. Celem jest zdobycie wiedzy operacyjnej, która może zostać wykorzystana przeciwko Ukrainie i jej partnerom.

GRU działa w sposób zorganizowany i długofalowy. Włamania pozwalają rosyjskim służbom na zdobycie dostępu do poczty elektronicznej, dokumentów i kont pracowników. W wielu przypadkach atakujący utrzymywali dostęp przez miesiące – bez wzbudzania podejrzeń. Działania były prowadzone z użyciem wiadomości e-mail podszywających się pod znane instytucje oraz z wykorzystaniem znanych luk w oprogramowaniu.

Raport pokazuje, że GRU wykorzystuje także prywatne i publiczne kamery IP – zwłaszcza na przejściach granicznych i w punktach logistycznych. Uzyskany obraz prawdopodobnie służy do śledzenia tras i ruchu transportów pomocowych.

W kampanii prowadzonej przez GRU zidentyfikowano przypadki ataków na firmy działające na terytorium Polski. Szczególnie niepokojące jest wykorzystanie urządzeń cywilnych – w tym prywatnych kamer IP – bez wiedzy właścicieli. Działania rosyjskich służb narażają nie tylko instytucje publiczne i firmy, ale także zwykłych użytkowników i ich dane.

Zgodnie z oceną służb, kampania prowadzona przez GRU będzie kontynuowana. Służby podkreślają, że działania te stanowią realne zagrożenie dla bezpieczeństwa organizacji logistycznych, firm technologicznych, instytucji państwowych i obywateli.

Służba Kontrwywiadu Wojskowego i Agencja Bezpieczeństwa Wewnętrznego przypominają, że ochrona polskiej przestrzeni informacyjnej przed wrogimi działaniami GRU jest jednym z jej kluczowych zadań. SKW była jednym z głównych uczestników międzynarodowej operacji, która w 2024 roku doprowadziła do wyeliminowania rosyjskiego dostępu do setek urządzeń wykorzystywanych bez wiedzy użytkowników.

SKW, działając razem z CERT Polska i partnerami zagranicznymi, wykryła i zablokowała także działania GRU prowadzone przeciwko łańcuchom dostaw oprogramowania. Służba podkreśla, że konsekwentnie rozpoznaje, przeciwdziała i eliminuje zagrożenia ze strony rosyjskich służb – zarówno wobec wojska, jak i podmiotów cywilnych.

Raport zawiera konkretne zalecenia, które mogą pomóc organizacjom w Polsce zmniejszyć ryzyko skutecznych ataków. Rekomendacje dotyczą m.in. wzmacniania ochrony poczty elektronicznej, stosowania silnych haseł i uwierzytelniania dwuskładnikowego, aktualizacji oprogramowania oraz bezpiecznego zarządzania kamerami IP i dostępem zdalnym.

Pełna treść raportu technicznego znajduje się poniżej. Zawiera szczegółowe opisy metod działania GRU, przykłady kampanii oraz zestaw zaleceń dla potencjalnych ofiar. Zachęcamy wszystkie podmioty narażone na działania rosyjskich służb – w szczególności firmy z sektora logistyki i technologii – do zapoznania się z dokumentem i wdrożenia wskazanych środków ochronnych.

Komunikat National Security Agency (NSA)  znajduje się tutaj.