Unia Europejska (UE), wraz z rządami państw członkowskich, Czechami i Niemcami oraz innymi partnerami, w tym Wielką Brytanią, potępiła kampanię cyberataków przeprowadzonych przez wspieranego przez rosyjski wywiad ugrupowania APT, znanego jako Fantazyjny Niedźwiedź – znany również jako APT28, Strontium i Forest Blizzard.
Oświadczenie towarzyszy publikacji oświadczeń Berlina i Pragi, w których szczegółowo opisano, po pierwsze, włamania na różne konta e-mail należące do władz wykonawczych Niemieckiej Partii Socjaldemokratycznej, a po drugie, różne instytucje rządowe.
UE stwierdziła, iż organy w innych państwach członkowskich, w tym na Litwie, w Polsce, Słowacji i Szwecji, również stały się celem Fancy Bear, na który UE nałożyła wcześniej sankcje za cyberatak w sprawie niemieckiego parlamentu federalnego w 2015 r.
Stwierdzono, iż złośliwa kampania ukazała „ciągły wzorzec nieodpowiedzialnego zachowania” Rosji, wymierzony w instytucje demokratyczne, podmioty rządowe i infrastrukturę krytyczną w całej Europie, co jest sprzeczne z normami ONZ dotyczącymi odpowiedzialnego zachowania państw w cyberprzestrzeni i z lekceważeniem międzynarodowych bezpieczeństwo i stabilność.
„UE nie będzie tolerować takich złośliwych zachowań, zwłaszcza działań, których celem jest degradacja naszej infrastruktury krytycznej, osłabienie spójności społecznej i wywarcie wpływu na procesy demokratyczne, mając na uwadze tegoroczne wybory w UE i w ponad 60 krajach na całym świecie” – powiedziała Bruksela w oświadczenie. „UE i jej państwa członkowskie będą w dalszym ciągu współpracować z naszymi partnerami międzynarodowymi, aby promować otwartą, wolną, stabilną i bezpieczną cyberprzestrzeń. UE jest zdecydowana skorzystać z pełnego spektrum środków, aby zapobiegać złośliwym zachowaniom Rosji w cyberprzestrzeni, powstrzymywać je i reagować na nie”.
Rzecznik niemieckiego rządu powiedział: „Cyberataki na partie polityczne, instytucje państwowe i firmy zapewniające infrastrukturę krytyczną stanowią zagrożenie dla naszej demokracji, naszego bezpieczeństwa narodowego i naszego liberalnego społeczeństwa.
„Rząd federalny najmocniej potępia powtarzające się i niedopuszczalne szkodliwe działania cybernetyczne sponsorowanych przez państwo rosyjskich podmiotów i ponownie wzywa Rosję do powstrzymania się od takich zachowań. Niemcy są zdecydowane współpracować ze swoimi europejskimi i międzynarodowymi partnerami, aby przeciwdziałać takim złośliwym działaniom cybernetycznym”.
Czeski rząd dodał: „Cyberataki wymierzone w podmioty polityczne, instytucje państwowe i infrastrukturę krytyczną stanowią nie tylko zagrożenie dla bezpieczeństwa narodowego, ale także zakłócają procesy demokratyczne, na których opiera się nasze wolne społeczeństwo. Władze czeskie będą w dalszym ciągu podejmować działania mające na celu wzmocnienie odporności instytucji publicznych i sektora prywatnego.
„Czechy są głęboko zaniepokojone powtarzającymi się cyberatakami ze strony podmiotów państwowych” – stwierdzono. „Jesteśmy zdeterminowani, aby wraz z naszymi europejskimi i międzynarodowymi partnerami zdecydowanie zareagować na to niedopuszczalne zachowanie”.
Przyjmuje się, iż w obu kampaniach przeciwko Czechom i Niemcom APT28 wykorzystał lukę w zabezpieczeniach programu Microsoft Outlook. Prawdopodobnie był to CVE-2023-23397, który został ujawniony w aktualizacji z wtorkowej aktualizacji z marca 2023 ri z którego wiadomo, iż Fancy Bear korzystał w dużej liczbie cyberatakówprawdopodobnie już w 2022 r.
Wykorzystywano go także przeciwko organom i organizacjom rządowym w takich dziedzinach, jak produkcja i dystrybucja energii; operacje rurociągów; oraz transport materiałów, osobisty i lotniczy.
Do państw docelowych należały Bułgaria, Czechy, Włochy, Jordania, Litwa, Luksemburg, Czarnogóra, Polska, Rumunia, Słowacja, Turcja, Ukraina, Zjednoczone Emiraty Arabskie i USA, a także Dowództwo Sił Wysokiej Gotowości NATOktóre są rozproszone po całej Europie w Wielkiej Brytanii, Francji, Niemczech, Grecji, Polsce i Turcji.
CVE-2023-23397, który wykorzystuje się do wysyłania specjalnie spreparowanej wiadomości e-mail do potencjalnego celu, jest szczególnie niebezpieczny, ponieważ jest uruchamiany po stronie serwera poczty e-mail, co w uproszczeniu oznacza, iż można go wykorzystać przed otwarciem i przeglądaniem wiadomości e-mail. Umożliwia atakującemu uzyskanie dostępu do skrótu Net-NTLMv2 ofiary i użycie go do uwierzytelnienia, udając, iż jest nim, co pozwala na obejście środków uwierzytelniających. Został po raz pierwszy odkryty przez ukraińskie władze cybernetyczne.
Reakcja Wielkiej Brytanii
W Wielkiej Brytanii Westminster gwałtownie przyłączył się do UE i dotkniętych krajów, zdecydowanie potępiając działania Fancy Bear.
„Dzisiejsze wypowiedzi naszych sojuszników pokazują skalę, trwałość i powagę niedopuszczalnych zachowań Rosji w cyberprzestrzeni” – powiedział rzecznik Biura Spraw Zagranicznych, Wspólnoty Narodów i Rozwoju.
„Niedawne działania rosyjskiej grupy cybernetycznej GRU APT28, w tym wymierzone w dyrektora niemieckiej Partii Socjaldemokratycznej, są najnowszym ze znanego wzorca zachowań rosyjskich służb wywiadowczych mających na celu podważanie procesów demokratycznych na całym świecie.
„W dniu 7 grudnia 2023 rWielka Brytania ujawniła szereg prób rosyjskich służb wywiadowczych, których celem były znane osoby i podmioty w Wielkiej Brytanii dzięki operacji cybernetycznych” – stwierdzili. „Jednocześnie nałożyliśmy sankcje na dwóch obywateli Rosji odpowiedzialnych za ingerencję polityczną.
„W związku z wieloma wyborami na całym świecie w 2024 r. podnoszenie świadomości na temat zagrożeń dla Wielkiej Brytanii i naszych partnerów międzynarodowych pozostaje niezwykle ważne dla naszej zbiorowej odporności. Dziś, jako część szerokiej koalicji sojuszników, dajemy jasno do zrozumienia państwu rosyjskiemu, iż będziemy w dalszym ciągu identyfikować, ujawniać i reagować na takie niedopuszczalne działania”.
