W Paryżu nastroje są dalekie od neutralnych. Oświadczenie opublikowane przez francuskie Ministerstwo Spraw Zagranicznych nie pozostawia wątpliwości – według tamtejszych władz to rosyjska grupa hakerska APT28 stoi za trwającą od co najmniej czterech lat serią cyberataków wymierzonych w francuskie instytucje publiczne i strategiczne podmioty gospodarcze. To nie jest pierwszy raz, kiedy Paryż otwarcie wskazuje na powiązania tej grupy z rosyjskim wywiadem wojskowym GRU, ale pierwszy raz robi to z taką stanowczością. Na przestrzeni ostatnich miesięcy napięcie między Francją a Rosją narastało, zwłaszcza w kontekście zagrożeń w cyberprzestrzeni. Tym razem francuskie służby bezpieczeństwa postanowiły postawić sprawę jasno: zaatakowani zostali nie tylko urzędnicy państwowi, ale również sektor obronny, samorządy, uczelnie i firmy badawcze. Lista celów jest zaskakująco długa i obejmuje również think-tanki oraz organizacje gospodarcze, co jednoznacznie sugeruje, że nie chodziło jedynie o przypadkowe włamania, ale o zaplanowaną, szeroko zakrojoną operację szpiegowską.
Nowoczesne metody APT28
Francuska Narodowa Agencja Bezpieczeństwa Systemów Informatycznych (ANSSI) wskazuje, że działania APT28 nasiliły się od 2021 roku. Szczególną uwagę zwrócono na ataki, które wykorzystywały popularne i łatwo dostępne narzędzia – darmowe serwisy hostingowe, tymczasowe adresy e-mail, wypożyczane serwery oraz komercyjne VPN-y. Takie podejście umożliwia hakerom maskowanie swojej tożsamości i błyskawiczne dostosowanie taktyk do zmieniającej się sytuacji operacyjnej. W opinii ekspertów to przykład nowoczesnego, taniego i bardzo skutecznego cyberterroryzmu, który nie potrzebuje zaawansowanej infrastruktury, by być groźnym. W ostatnich miesiącach działania APT28 miały jeden dominujący cel – zdobycie strategicznych informacji wywiadowczych. Celem stawały się przede wszystkim instytucje rządowe, ambasady, jednostki badawcze i organizacje eksperckie – nie tylko we Francji, ale również w innych częściach Europy, a także w Ameryce Północnej i na Ukrainie. Ten kierunek zainteresowań jasno wskazuje, że działalność grupy nie ogranicza się wyłącznie do cyberprzestrzeni, ale ma bezpośrednie przełożenie na realia geopolityczne i bezpieczeństwo krajów NATO.
Międzynarodowa odpowiedź na cyberzagrożenie
Działania APT28 nie są dla służb zachodnich nowością. Od lat są znani pod różnymi nazwami – Fancy Bear czy Strontium – i od lat są powiązywani z jednostką GRU odpowiedzialną za operacje ofensywne w cyberprzestrzeni. Wcześniej przypisywano im między innymi atak na niemiecki Bundestag, kampanię przeciwko amerykańskim partiom politycznym przed wyborami prezydenckimi w 2016 roku, a także liczne operacje wymierzone w instytucje rządowe i badawcze w Polsce, Niemczech czy Czechach. Reakcja Francji wpisuje się w szerszy, międzynarodowy kontekst. W zeszłym roku NATO i Unia Europejska wydały wspólne oświadczenie, w którym potępiły kampanię prowadzoną przez APT28 jako poważne zagrożenie dla stabilności i bezpieczeństwa Europy. Podkreślono, że działania te mają charakter hybrydowy – łączą tradycyjne formy sabotażu, przemoc, kampanie dezinformacyjne oraz cyberataki, które destabilizują nie tylko struktury państwowe, ale też opinię publiczną i zaufanie obywateli do instytucji.
Francuskie MSZ nie zamierza jednak poprzestać na słowach. Zapowiedziano konkretne działania: od przeciwdziałania i prewencji, po reakcje wymierzone w źródła zagrożeń. Współpraca z sojusznikami w ramach NATO i UE ma być zacieśniona, a środki obronne – wzmocnione. Choć nie ujawniono szczegółów dotyczących ewentualnych kontrataków czy sankcji, ton komunikatu jasno sugeruje, że Francja traktuje incydenty APT28 jako atak na swoją suwerenność i integralność.
