Duńska Służba Wywiadu Wojskowego (FE) ostrzega, że Rosja prowadzi cybernetyczne szpiegostwo przeciwko duńskiej infrastrukturze krytycznej, przygotowując się do potencjalnego konfliktu z NATO. Jednostka GRU 26165, znana jako APT28, Fancy Bear czy BlueDelta, atakuje sektory bankowe, energetyczne i logistyczne, by umożliwić sabotaż w przypadku eskalacji. Cel? Utrudnienie wsparcia dla Ukrainy i krajów bałtyckich.

Duńska gazeta „Politiken” opublikowała alarmujące ostrzeżenie Służby Wywiadu Wojskowego Danii (FE), wskazujące na intensywne działania rosyjskich grup hakerskich przeciwko duńskiej infrastrukturze krytycznej. Według FE, jednostka GRU o kodzie 26165, znana w środowisku cyberbezpieczeństwa jako APT28, Fancy Bear, Forest Blizzard czy BlueDelta, prowadzi operacje szpiegowskie, które mogą być preludium do destrukcyjnych cyberataków w razie eskalacji konfliktu z NATO. Działania te koncentrują się na sektorach bankowym, energetycznym i logistycznym, a ich celem jest przygotowanie gruntu pod sabotaż, szczególnie w przypadku rosyjskiej inwazji na kraje bałtyckie.

Rosyjskie cyberataki mają cel: wywołać panikę

Doradca duńskiego Narodowego Centrum Technologii Obronnych, Jeppeg Teglskov Jacobsen, wyjaśnił, że Rosja dąży do nieuprawnionego dostępu do systemów informatycznych kluczowych sektorów, takich jak bankowość czy energetyka.

– Jeśli Rosja zaatakuje jeden z krajów bałtyckich, mogłaby wykorzystać te dostępy do sparaliżowania duńskiej pomocy wojskowej – stwierdził Jacobsen. Współny raport służb wywiadowczych Danii, innych krajów europejskich i USA ujawnił, że od czasu inwazji na Ukrainę w 2022 roku jednostka 26165 zinfiltrowała systemy dziesiątek zachodnich firm i instytucji, w tym około 10 tysięcy kamer monitoringu przy przejściach granicznych, instalacjach wojskowych i stacjach kolejowych, śledząc transporty broni i pomocy dla Ukrainy.

GRU 26165 stosuje zaawansowane techniki, takie jak spear-phishing, password spraying, exploity zero-day oraz wykorzystywanie legalnych usług internetowych i „living off the land” (LOLBins), co pozwala maskować ich działania w zwykłym ruchu sieciowym. Grupa jest powiązana z atakami na instytucje rządowe, wojskowe i organizacje wspierające Ukrainę, w tym w Polsce, Czechach, Niemczech, Francji i USA. W maju 2024 roku APT28 zaatakowała polskie instytucje rządowe, a w Czechach wykorzystała nieznaną wcześniej lukę w Microsoft Outlook (CVE-2023-23397).

Duńczycy widzą zagrożenie

Duńskie Centrum Cyberbezpieczeństwa (CFCS) już w styczniu 2025 roku podniosło poziom zagrożenia dla sektora wodnego do „bardzo wysokiego” po grudniowym ataku prorosyjskich hakerów na system informatyczny przedsiębiorstwa wodno-kanalizacyjnego w jednej z duńskich gmin. Włamanie doprowadziło do awarii oprogramowania, pęknięcia rury i czasowego odcięcia dostaw wody dla mieszkańców. Incydent ten uwypuklił podatność infrastruktury krytycznej na cyberataki i konieczność pilnego wzmocnienia zabezpieczeń.

FE podkreśla, że działania GRU są częścią szerszej strategii militarnej, mającej na celu osłabienie zdolności NATO do reagowania w sytuacjach kryzysowych.

– Rosja może być gotowa do prowadzenia lokalnej wojny z krajem graniczącym w ciągu sześciu miesięcy, a w ciągu pięciu lat do większego konfliktu z NATO, jeśli uzna Sojusz za osłabiony militarnie lub podzielony politycznie – ostrzegł duński wywiad w lutym 2025 roku.

Ostrzeżenie Danii jest wynikiem współpracy z zachodnimi służbami, w tym amerykańską FBI, brytyjską NCSC, niemiecką BSI oraz polską ABW, które wspólnie monitorują działania APT28. W maju 2025 roku 21 służb wywiadowczych z 11 krajów NATO wydało raport, wskazując na kampanię GRU przeciwko firmom logistycznym i technologicznym wspierającym Ukrainę. Ataki te, wykorzystujące m.in. malware HeadLace i fałszywe strony logowania, miały na celu zbieranie danych wywiadowczych, które mogą wspierać rosyjskie operacje militarne.

Stany Zjednoczone, NATO i UE potępiły działania Rosji, wzywając do przestrzegania międzynarodowych norm w cyberprzestrzeni. W lutym 2024 roku USA zneutralizowały botnet złożony z routerów Ubiquiti, używany przez APT28 do ataków, w tym w Niemczech. NATO, w oświadczeniu sekretarza generalnego Marka Ruttego, podkreśliło, że rosyjskie działania hybrydowe „stanowią zagrożenie dla bezpieczeństwa Sojuszu”.

Implikacje dla Danii i NATO

Duński raport, opublikowany w „Politiken”, wskazuje na rosnące zagrożenie ze strony Rosji, która intensyfikuje cyberataki w odpowiedzi na wsparcie NATO dla Ukrainy. APT28, aktywna od co najmniej 2004 roku, ma długą historię ataków na cele strategiczne, w tym na kampanię Hillary Clinton w 2016 roku, Światową Agencję Antydopingową (WADA) czy francuską telewizję TV5Monde w 2015 roku. W kontekście Danii, kluczowym celem jest infrastruktura wspierająca logistykę pomocy dla Ukrainy.

Duńskie służby wzywają do wzmożonej ochrony systemów i edukacji w zakresie cyberbezpieczeństwa, szczególnie w sektorach krytycznych.

– Organizacje muszą priorytetyzować wykrywanie zaawansowanych prób phishingu i ograniczać dostęp do niepotrzebnych usług internetowych – radzą eksperci z Recorded Future.

Źródło: Politiken / Berlingske