Rosyjscy hakerzy próbowali uszkodzić francuską elektrownię wodną, ale pomylili ją z młynem wodnym

Zdjęcie: mb6k2s-c97-org.cdn.ampproject.org

O działaniach grupy hakerów Sandworm, łączonych z rosyjskim wywiadem wojskowym, informuje francuskie czasopismo „Le Monde” na podstawie raportu Mandiant Google Cloud. Uwagę śledczych przyciągnęło dziwne wideo na kanale Telegram CyberArmyofRussiaReborn, który regularnie zgłasza kradzieże danych lub ataki komputerowe w imieniu Rosji. Tym razem mówiono o udanej dywersji na elektrownię wodną  we francuskim miasteczku Courlon-sur-Yonne, 85 kilometrów od Paryża. 

Na filmie po pokazaniu zapory widoczne jest oprogramowanie kontrolujące otwieranie śluz. Hakerzy demonstrują manipulacje programem sterującym, aby spuścić wodę. Tymczasem, według informacji Le Monde, hakerzy pomylili oprogramowanie elektrowni wodnej z podobnym młynem wodnym, przekształconym w małą prywatną elektrownię wioski Courlandon, oddalonej o 115 km od Paryża. Według raportu, nikt w wiosce nie zauważył incydentu. Jednakże to nie dziwne, ponieważ analiza wideo wykazała, że poziom wody spadł tylko o 20 centymetrów. 

Ale czy to było tylko pomyłką? 

Autorzy zauważają, że kanał Telegram, na którym pojawiło się dziwne wideo, zgodnie z raportem Mandiant Google Cloud, opublikowanym 17 kwietnia, jest kontrolowany przez jedną z najbardziej elitarnych jednostek rosyjskiego wywiadu wojskowego (GRU) znanej jako Sandworm. W okresie od stycznia do kwietnia kanał CyberArmyofRussia_Reborn informował o udanych atakach komputerowych na obiekty oczyszczania wody i jej dystrybucji w Polsce i USA. Jeśli w Polsce celem ataku był zwykły zakład oczyszczania ścieków, to w USA ucierpiała sieć dystrybucji i magazynowania wody obsługująca kilka wiosek w Teksasie. 

Oczywiście, atak na młyn we francuskiej wiosce nie był niczym wyjątkowym. To raczej demonstracja możliwości. Raport Mandiant zauważa, że grupa hakerów Sandworm (lub APT44) odegrała kluczową rolę w najbardziej śmiałych atakach na infrastrukturę krytyczną na Ukrainie od samego początku działań wojennych. Na przykład w listopadzie 2023 roku Sandworm zorganizował atak na ukraiński system energetyczny, wspierany przez rosyjskie naloty lotnicze na ten sam obszar geograficzny. 

Jak wyjaśnił główny analityk Mandiant, John Hultquist, grupa Sandworm ponosi odpowiedzialność za większość cybersabotaży GRU na Ukrainie od 2014 roku. Według niego jest to „główna jednostka cybersabotażowa Moskwy”, która ma na celu zadanie rzeczywistych fizycznych szkód infrastrukturze. Od początku konfliktu z Kijowem grupa Sandworm pełni również kluczową rolę w działaniach wywiadowczych. Zgodnie z raportem Mandiant, jej członkowie stworzyli techniczne środki dostępu do przechwytywania danych z telefonów komórkowych, co umożliwia udzielanie szczegółowych instrukcji dla rosyjskich jednostek na froncie. 

Redakcja przypomina, że Stany Zjednoczone obwiniają Sandworm o atak na oprogramowanie używane podczas Zimowych Igrzysk Olimpijskich w 2018 roku w Pjongczangu (Korea Południowa). Atak ten częściowo zakłócił oficjalną ceremonię otwarcia igrzysk. Grupa Sandworm także aktywnie uczestniczyła w próbach destabilizacji wyborów prezydenckich we Francji w 2017 roku. Dlatego też francuskim służbom bezpieczeństwa przed zbliżającymi się Igrzyskami Olimpijskimi, które odbędą się za kilka miesięcy w Paryżu, należy zachować najwyższą czujność. 

Biorąc pod uwagę, że bieżący rok jest pełen ważnych kampanii wyborczych (np. Do Parlamentu Europejskiego i wyborów prezydenckich w USA), na które Rosja zwraca uwagę, zwiększone środki bezpieczeństwa informacyjnego są potrzebne nie tylko francuskim służbom specjalnym.