Kulisy cyberataku na brytyjską Akademię Obrony. Były marszałek lotnictwa komentuje sprawę
W marcu 2021 roku miało miejsce „wyrafinowane” włamanie do systemów Akademii Obrony Wielkiej Brytanii, które – według oceny marszałka lotnictwa Edwarda Stringera – miało „znaczące konsekwencje”. Podejrzewa on, że za incydentem mogły stać Chiny lub Rosja.
Był to pierwszy wywiad marszałka od czasu opuszczenia przez niego wojska w sierpniu ub. r. W rozmowie z telewizją Sky News opowiedział o cyberataku, do którego doszło na w marcu ubiegłego roku na akademickie ramię brytyjskiego Ministerstwa Obrony.
Edward Stringer ujawnił, że za cyberatakiem stały prawdopodobnie Chiny lub Rosja i że miał on „znaczący wpływ” na brytyjską Akademię Obrony. Incydent miał skłonić jednostkę do przyspieszenia planów odbudowy i zwiększenia odporności całej sieci.
„Celowanie w instytucję akademicką jest oznaką tego, że front współczesnej wojny może być wszędzie” – powiedział były dyrektor generalny akademii w rozmowie ze Sky News. „Konsekwencje operacji były znaczące, ale potem możliwe do opanowania” – dodał.
Personel IT, który odpowiadał za minimalizowanie skutków ataku, musiał przede wszystkim znaleźć sposób, by możliwe było dalsze korzystanie z sieci, by można było uczyć się w standardowym trybie.
Marszałek lotnictwa ocenił, że nie wie, czy winni są cyberprzestępcy, czy wrogie państwo, ale głównym problemem było to, że próbowano wykorzystać Akademię Obrony jako backdoor do zmapowania tajnych części systemów informatycznych Ministerstwa Obrony. Do tej pory nie wiadomo, czy dokonano większej skali naruszeń niż tylko w systemach Akademii Obrony.
Podejrzenie pada na Chiny i Rosję
Po raz pierwszy wysoki rangą – choć już były – urzędnik wypowiada się publicznie o cyberataku i jego wpływie na akademię, która każdego roku kształci tysiące brytyjskich i zagranicznych oficerów wojskowych.
Cyfrowy oddział MON wszczął dochodzenie w sprawie cyberataku , ale żadne wyniki – na przykład kto za nim stał – nie zostały podane do publicznej wiadomości. O włamaniu poinformowało również National Cyber Security Centre, oddział brytyjskiej służby wywiadu elektronicznego GCHQ.
Zapytany, kogo podejrzewa, Stringer odpowiedział, że państwa takie jak Chiny, Rosja, Iran i Korea Północna mają możliwość przeprowadzenia takiego włamania. „Może to być którekolwiek z tych państw lub może to być ktoś, kto próbuje znaleźć lukę do ataku ransomware lub była to po prostu prawdziwa organizacja przestępcza” – powiedział.
Akademia Obrony kształci rocznie około 28 tys. żołnierzy, dyplomatów i urzędników państwowych. Każdy brytyjski oficer, który chce awansować, musi spędzić co najmniej rok na kursie w akademii.
Infrastrukturą informatyczną uczelni, w tym witryną internetową, zarządza firma outsourcingowa Serco. Po raz pierwszy zauważyła „niezwykłą aktywność” w weekend, w marcu ubiegłego roku. Wkrótce pracownicy IT zdali sobie sprawę, że w sieci byli „zewnętrzni agenci”.
W sieci akademii mają nie być przechowywane „żadne szczególnie wrażliwe informacje”. Wpływ na nauczycieli i studentów miał jednak fakt, że infrastruktura informatyczna – odpowiednik domeny internetowej dla uniwersytetu – musiała zostać zbadana, a następnie ostatecznie odbudowana. Zadanie to, do tej pory nie zostało ukończone. Było to szczególnie uciążliwe, ponieważ z powodu pandemii do internetu przeniesiono sporą część nauki.
Na stronie Akademii Obrony wciąż można przeczytać: „Nowa strona już wkrótce… prosimy o wyrozumiałość, będziemy kontynuowali aktualizację naszej strony”.
Brytyjskie Ministerstwo Obrony nie odpowiedziało na pytania o to, kto był odpowiedzialny za włamanie.
Rzecznik resortu jednak powiedział: „W marcu 2021 r. zostaliśmy poinformowani o incydencie, mającym wpływ na infrastrukturę informatyczną Akademii Obrony. Podjęliśmy szybkie działania i nie miało to wpływu na sieć informatyczną Ministerstwa Obrony. Nauczanie w Akademii Obrony trwało nadal”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.