Οι χάκερ των ρωσικών υπηρεσιών πληροφοριών και οι κυβερνοεπιθέσεις στην Ελλάδα

Από την έναρξη του πολέμου στην Ουκρανία και μετά φαίνεται ότι η χώρα μας έχει μπει και αυτή στο στόχαστρο ομάδων χάκερ που συνδέονται με την GRU, τη ρωσική στρατιωτική υπηρεσία πληροφοριών, αλλά και με την SVR, που είναι υπεύθυνη για την κατασκοπεία στο εξωτερικό. Σύμφωνα με στοιχεία δυτικών υπηρεσιών και ιδιωτικών εταιρειών για την κυβερνοασφάλεια, τα τελευταία δύο χρόνια οι χάκερ στόχευαν συστήματα που συνδέονται με τον τομέα των μεταφορών, την κυβέρνηση καθώς και πρεσβείες επί ελληνικού εδάφους.

Του Χάρη Καρανίκα

Πριν από μερικές ημέρες, περισσότερες από 20 εθνικές υπηρεσίες πληροφοριών και φορείς επιβολής του νόμου που ασχολούνται με την κυβερνοασφάλεια, με “προεξάρχουσα” την αμερικανική NSA, εξέδωσαν επίσημη ανακοίνωση για επιθέσεις ομάδας χάκερ που συνδέεται με τις ρωσικές στρατιωτικές υπηρεσίες πληροφοριών. “Από το 2022, δυτικές εταιρείες logistics και πληροφορικής αντιμετωπίζουν αυξημένους κινδύνους στόχευσης από τη στρατιωτική μονάδα 26165 της Κεντρικής Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU)”, αναφερόταν. Πέρα από την NSA, την εν λόγω ανακοίνωση “συνυπέγραφαν” υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου, της Γερμανίας, της Γαλλίας, της Δανίας, της Πολωνίας, της Τσεχίας και άλλων χωρών. Η μονάδα 26165, γνωστή κατά καιρούς ως ομάδα χάκινγκ “Fancy Bear” ή “APT28”, έχει σημάνει τον συναγερμό αρκετές φορές μεταξύ των συμμάχων του ΝΑΤΟ - ένα από τα πλέον πρόσφατα περιστατικά συνέβη τον Απρίλιο με τη Γαλλία να κατηγορεί τη μονάδα ότι πραγματοποίησε κυβερνοεπιθέσεις εναντίον των υπουργείων της.

Στην ανακοίνωση των δυτικών υπηρεσιών πληροφοριών στα τέλη Μαϊου αναφέρεται ότι η μονάδα 26165 επέκτεινε τη στόχευσή της “σε οντότητες logistics και εταιρείες τεχνολογίας που εμπλέκονται στην παροχή βοήθειας στην Ουκρανία”, καθώς και σε κάμερες που βρίσκονται στα ουκρανικά συνοριακά περάσματα και είναι συνδεδεμένες στο Διαδίκτυο.

Η κυβερνοεκστρατεία της μονάδας 26165 εναντίον δυτικών παρόχων logistics και εταιρείες τεχνολογίας φέρεται να έχει στοχεύσει δεκάδες φορείς, συμπεριλαμβανομένων κυβερνητικών οργανισμών και ιδιωτικών εταιρειών αεροπορικών, θαλάσσιων και σιδηροδρομικών μεταφορών, σε υποδομές μεταφορών, σε υπηρεσίες πληροφορικής και στον τομέα της αμυντικής βιομηχανίας, σύμφωνα με την πρόσφατη ανακοίνωση. Οι στόχοι των “δραστών” εντοπίστηκαν σε 13 χώρες, συμπεριλαμβανομένων της Γαλλίας, της Γερμανίας, της Ιταλίας, της Ολλανδίας, των Ηνωμένων Πολιτειών - και της Ελλάδας.

Στα στοιχεία που ανακοινώθηκαν από την NSA και τις υπόλοιπες εθνικές υπηρεσίες ασφάλειας δεν κατονομάζονταν συγκεκριμένοι οργανισμοί και δεν γινόταν ξεκάθαρο εάν η μονάδα 26165 κατάφερε να αποκτήσει διαβαθμισμένες πληροφορίες.

Λίγες ημέρες πριν την ανακοίνωση, στα μέσα Μαϊου, η ιδιωτική εταιρεία ESEΤ που ασχολείται με την κυβερνοασφάλεια, παρουσίασε κάποια ευρήματά της για επιθέσεις και “επιχείρηση ηλεκτρονικής κατασκοπείας”, που σχετίζονται με τη Ρωσία και στοχεύουν σε webmail. Ως “δράστες” εμφανίζονταν η ίδια ομάδα χάκερ για την οποία έκανε λόγο η ανακοίνωση των εθνικών υπηρεσιών πληροφοριών. “Τα περισσότερα θύματα είναι κυβερνητικές οντότητες και αμυντικές εταιρείες στην Ανατολική Ευρώπη, αν και έχουμε παρατηρήσει ότι στοχοποιούνται και κυβερνήσεις στην Αφρική, την (υπόλοιπη) Ευρώπη και τη Νότια Αμερική”, αναφερόταν στα ευρήματα που παρουσιάστηκαν στις 15 Μαϊου. Ανάμεσα στους στόχους εμφανιζόταν και πάλι η χώρα μας. Συγκεκριμένα, η ESET τον Μάιο του 2024 φέρεται να εντόπισε επιθέσεις από την ομάδα APT28 -την ίδια που οι εθνικές υπηρεσίες πληροφοριών είχαν κατονομάσει στην ανακοίνωσή τους ως μονάδα 26165 της GRU- σε webmail της “Εθνικής Κυβέρνησης” της Ελλάδας. Τον ίδιο μήνα φαίνεται από τα ευρήματα ότι είχε δεχθεί κυβερνοεπίθεση και η Ειδική Εισαγγελία στον Τομέα της Άμυνας της Ουκρανίας. Αναλυτής της ESET περιέγραψε την επιχείρηση χάκινγκ που συνδέεται με την GRU ως “συνεχιζόμενη”, με τα τελευταία ίχνη να εντοπίζονται στις 17 Απριλίου.

Στις αρχές Μαϊου, πριν την παρουσίασης των ευρημάτων της ESET, το αμερικανικό υπουργείο Δικαιοσύνης είχε εκδώσει την εξής ανακοίνωση: “Οι Ηνωμένες Πολιτείες καταδικάζουν έντονα την κακόβουλη κυβερνοδραστηριότητα της Κεντρικής Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU), γνωστής και ως APT28, εναντίον της Γερμανίας, της Τσεχίας, της

Λιθουανίας, της Πολωνίας, της Σλοβακίας και της Σουηδίας (…) Η συμπεριφοράς τη Ρωσίας αγνοεί κατάφωρα το Πλαίσιο για Υπεύθυνη Κρατική Συμπεριφορά στον Κυβερνοχώρο, όπως επιβεβαιώνεται από όλα τα κράτη μέλη των Ηνωμένων Εθνών. Οι Ηνωμένες Πολιτείες έχουν δεσμευτεί για την ασφάλεια των συμμάχων και των εταίρων μας και για την τήρηση της διεθνούς τάξης που βασίζεται σε κανόνες, συμπεριλαμβανομένου του κυβερνοχώρου. Καλούμε τη Ρωσία να σταματήσει αυτήν την κακόβουλη δραστηριότητα και να τηρήσει τις διεθνείς δεσμεύσεις και υποχρεώσεις της. Μαζί με την ΕΕ και τους Συμμάχους μας στο ΝΑΤΟ, θα συνεχίσουμε να αναλαμβάνουμε δράση για να διαταράξουμε τις κυβερνο-δραστηριότητες της Ρωσίας, να προστατεύσουμε τους πολίτες μας και τους ξένους εταίρους μας και να καταστήσουμε τους κακόβουλους παράγοντες υπόλογους”. Σε αυτές τις επιθέσεις δεν συμπεριλαμβανόταν η χώρα μας.

Η APT28 έχει εμπλακεί σε εκτεταμένες επιχειρήσεις προς υποστήριξη των ρωσικών στρατηγικών συμφερόντων. Η ομάδα, σχεδόν σίγουρα αποτελούμενη από εξπέρ προγραμματιστές και χειριστές, έχει ιστορικά συλλέξει πληροφορίες για σοβαρά αμυντικά και γεωπολιτικά ζητήματα. Επίσης, η κατασκοπευτική δραστηριότητα της APT28 έχει στοχεύσει κυρίως οντότητες στις ΗΠΑ, την Ευρώπη και τις χώρες της πρώην Σοβιετικής Ένωσης, συμπεριλαμβανομένων αμυντικών ακολούθων, μέσα ενημέρωσης και αντιφρονούντων και προσωπικοτήτων που αντιτίθενται στο καθεστώς Πούτιν. Το Υπουργείο Δικαιοσύνης των ΗΠΑ κατονόμασε την APT28 ως μία από τους υπεύθυνους για το χάκινγκ στα υπολογιστικά συστήματα της Εθνικής Επιτροπής των Δημοκρατικών (DNC) λίγο πριν από τις εκλογές του 2016 στις ΗΠΑ. Ακόμα θεωρείται υπεύθυνη για την παραβίαση του γαλλικού τηλεοπτικού δικτύου TV5Monde, τη διαρροή email του Παγκόσμιου Οργανισμού Αντιντόπινγκ (WADA) και πολλά άλλα περιστατικά.

Θα αναρωτηθεί κανείς “εντάξει, και τι καταφέρνουν με όλες αυτές τις κυβερνοεπιθέσεις”;

Ένα απτό παράδειγμα: Από τα τέλη του 2014, λίγο μετά την προσάρτηση της Κριμαίας, και έως το 2016, ένα “εμφύτευμα” λογισμικού που δημιούργησε η APT28, με την ονομασία X-Agent, διείσδυσε κρυφά σε ουκρανικά στρατιωτικά φόρουμ μέσω μιας νόμιμης εφαρμογής Android που αναπτύχθηκε από τον Ουκρανό αξιωματικό πυροβολικού Γιάροσλαβ Σέρτουκ. Η αρχική εφαρμογή του Σέρτουκ επέτρεπε στις δυνάμεις πυροβολικού να επεξεργάζονται ταχύτερα δεδομένα στόχευσης για το σοβιετικό οβιδοβόλο D-30 που χρησιμοποιούν οι ουκρανικές δυνάμεις, μειώνοντας τον χρόνο στόχευσης από λεπτά σε λιγότερο από 15 δευτερόλεπτα. Εκτιμάται δε, σύμφωνα με όσα έχει δηλώσει και ο ίδιος ο Σέρτουκ σε συνέντευξή του στον ουκρανικό Τύπο, ότι περισσότεροι από 9.000 στρατιώτες πυροβολικού χρησιμοποιούσαν την εφαρμογή. Η διείσδυση του X-Agent στα φόρουμ των στρατιωτών θεωρείται ότι έπαιξε σημαντικό ρόλο στον γεωεντοπισμό των ουκρανικών δυναμεων πυροβολικού καθώς μπορούσε να ανακτά δεδομένα επικοινωνιών και γεωγραφικής θέσης από τις “μολυσμένες” συσκευές. Σύμφωνα με στοιχεία του Διεθνούς Ινστιτούτου Στρατηγικών Μελετών (IISS) που δημοσιεύθηκαν το 2017, αφού δηλαδή το X-Agent είχε διεισδύσει στα φόρουμ περίπου δύο χρόνια, “οι Ουκρανικές Ένοπλες Δυνάμεις έχασαν μεταξύ 15% και 20% του αποθέματός D- 30 σε πολεμικές επιχειρήσεις”.

Η Ρωσία φαίνεται να έχει αξιοποιήσει την APT28 και για τη διεξαγωγή επιχειρήσεων παραπληροφόρησης που εξυπηρετούν το ευρύτερο στρατηγικό δόγμα της Ρωίας. Αφού παραβιάσει τα συστήματα των στόχων της, η APT28 αποκτά δεδομένα που στη συνέχεια διαρρέει, με σκοπό να δημιουγηθούν “αφηγήσεις” που ευθυγραμμίζονται με τα ρωσικά συμφέροντα. Μέχρι σήμερα, τέτοιου είδους επιχειρήσεις περιλαμβάνουν τη σύγκρουση στη Συρία, τις σχέσεις ΝΑΤΟ-Ουκρανίας, καθώς την κρίση προσφύγων και μεταναστών στην Ευρωπαϊκή Ένωση. Ανάμεσα στα “θύματα” της APT28 συγκαταλέγονται επίσης οι Pussy Riot, γνωστές ακτιβίστριες κατά του καθεστώτος Πούτιν, ο Οργανισμός για την Ασφάλεια και τη Συνεργασία στην Ευρώπη (ΟΑΣΕ), τα πληροφοριακά συστήματα των γερμανών Χριστιανοδημοκρατών (CDU), o Πακιστανικός στρατός και πολλοί ακόμα. Σε εμπιστευτικό έγγραφο που είδε το ant1news.gr φαίνεται ότι το στόχαστρο των χάκερς της GRU στράφηκε μέχρι και κατά ιδιωτικής αμερικανικής εταιρείας που εμπλεκόταν στην ανάπτυξη λογισμικού που χρησιμοποιήθηκε στις προεδρικές εκλογές του 2016.

Η APT28 έχει και μία “αδελφή” μονάδα χάκερ, την APT29 η οποία υπάγεται στην Υπηρεσία Πληροφοριών Εξωτερικού της Ρωσίας (SVR). Ενεργή τουλάχιστον από το 2008, η APT29 έχει γίνει συνώνυμη με τις κρυφές επιχειρήσεις που στοχεύουν ευρωπαϊκά ιδρύματα μέσω email ηλεκτρονικού "ψαρέματος" (phishing) και “εμφυτεύσεων” κακόβουλου λογισμικού. Σε αντίθεση με τις επιθετικές τακτικές της APT28, η προσέγγιση της APT29 είναι ιδιαίτερα διακριτική, ευνοώντας την μυστική παρακολούθηση. Καθ' όλη τη διάρκεια του 2020, η ομάδα αυτή στόχευσε διάφορους

οργανισμούς στον Καναδά, τις Ηνωμένες Πολιτείες και το Ηνωμένο Βασίλειο που εμπλέκονταν στην ανάπτυξη εμβολίων για τον COVID-19, με σκοπό την κλοπή πολύτιμων πληροφοριών. Και η APT29, όπως φαίνεται από στοιχεία του Συμβουλίου Εθνικής Ασφαλείας και Άμυνας της Ουκρανίας, έχει εξαπολύσει κυβερνοεπιθέσεις κατά στόχων εντός της χώρας μας. Συγκεκριμένα, το 2023 φαίνεται ότι η APT29 αξιοποίησε μία “τρύπα” σε εφαρμογή συμπίεσης αρχείων και μέσω αποστολής ηλεκτρονικών μηνυμάτων που περιείχαν κακοβουλο λογισμικό μέσα “δολωμάτα” με φωτογραφίες και έγγραφα για την πώληση διπλωματικών αυτοκινήτων BMW, στόχευσε πρεσβείες επί ελληνικού εδάφους. Η ίδια μέθοδος χρησιμοποιήθηκε και σε Ιταλία, Ρουμανία και Αζερμπαϊτζάν.

Εκτός από το κόλπο με τις πωλήσεις αυτοκινήτων, οι χάκερ των ρωσικών υπηρεσιών, έχουν χρησιμοποιήσει και άλλα δολώματα για να “ψαρέψουν” διπλωμάτες, όπως ψεύτικες προσκλήσεις σε εκδηλώσεις και πολυτελή δείπνα, ενώ πλέον πρόσφατα, τον Απρίλιο του 2025 αποκαλύφθηκε ότι έκαναν κάτι αντίστοιχο με events για γευσιγνωσία κρασιού.