Rosyjska agencja wywiadu wojskowego GRU od dawna cieszy się opinią jednej z najbardziej agresywnych na świecie osób zajmujących się sabotażem, zabójstwami i cyberwojną, a hakerzy są dumni z tego, że działają pod tym samym sztandarem, co brutalni operatorzy sił specjalnych. Jednak jedna nowa grupa w tej agencji pokazuje, jak GRU może mocniej niż kiedykolwiek wcześniej łączyć taktykę fizyczną i cyfrową: zespół hakerski, który wyłonił się z tej samej jednostki odpowiedzialnej za najsłynniejsze rosyjskie taktyki fizyczne, w tym zatrucia, próby zamachu stanu i zamachy bombowe w krajach zachodnich.
Szeroka grupa zachodnich agencji wywiadowczych ujawniła w czwartek, że grupa hakerska znana jako Cadet Blizzard, Bleeding Bear lub Greyscale – która przeprowadziła wiele operacji hakerskich wymierzonych w Ukrainę, Stany Zjednoczone i inne kraje w Europie, Azji i Ameryce Łacińskiej – w rzeczywistości jest częścią jednostki GRU 29155, oddziału agencji szpiegowskiej znanej z bezczelnych aktów sabotażu fizycznego i morderstw na tle politycznym. Jednostka ta była w przeszłości powiązana na przykład z próbą otrucia dezertera GRU Siergieja Skripala środkiem paralityczno-drgawkowym w Wielkiej Brytanii, w wyniku której zginęły dwie osoby postronne, a także z kolejnym zamachem w Bułgarii, eksplozją składu broni w Czechach i nieudaną próbę zamachu stanu w Czarnogórze.
Teraz, gdy wydaje się, że niesławna sekcja GRU stworzyła własny, aktywny zespół operatorów cyberwojny – różniący się od tych z innych jednostek GRU, takich jak Jednostka 26165, szerzej znana jako Fancy Bear lub APT28, oraz Jednostka 74455, zespół skupiony na cyberatakach, znany jako Piaskowy Robak. Od 2022 r. niedawno zwerbowani hakerzy z jednostki GRU 29155 przejęli dowodzenie w operacjach cybernetycznych, w tym w zakresie szkodliwego oprogramowania do usuwania danych znanego jako Whispergate, które zaatakowało ukraińskie organizacje w przeddzień inwazji Rosji w lutym 2022 r., a także zniesławiania ukraińskich rządowych witryn internetowych oraz kradzieży i wycieku z nich informacji pod fałszywą personą „haktywisty” znaną jako Wolny Cywil.
Według jednego z wielu urzędników zachodnich agencji wywiadowczych, z którym WIRED przeprowadził wywiad pod warunkiem zachowania anonimowości, Identyfikacja kadeta Blizzarda jako członka jednostki GRU 29155 pokazuje, jak agencja w swoim podejściu do wojny hybrydowej jeszcze bardziej zaciera granicę między taktyką fizyczną a cybernetyczną Nie jestem upoważniony do wypowiadania się pod ich imionami. „Siły specjalne zwykle nie tworzą jednostki cybernetycznej odzwierciedlającej ich fizyczne działania” – mówi jeden z urzędników. „To jednostka operacyjna o dużym obciążeniu fizycznym, której zadaniem jest dokonywanie bardziej makabrycznych czynów, w jakie zaangażowane jest GRU. Uważam, że to bardzo zaskakujące, że ta jednostka, która zajmuje się bardzo praktycznymi sprawami, robi teraz cybernetyczne rzeczy zza klawiatury”.
Poza znanymi wcześniej operacjami przeciwko Ukrainie, urzędnicy zachodnich agencji wywiadowczych mówią WIRED, że grupa atakowała także różnorodne organizacje w Ameryce Północnej, Europie Wschodniej i Środkowej, Azji Środkowej i Ameryce Łacińskiej, takie jak sektory transportu i opieki zdrowotnej, instytucje rządowe agencje oraz „infrastrukturę krytyczną”, w tym infrastrukturę „energetyczną”, choć urzędnicy odmówili podania bardziej szczegółowych informacji. Urzędnicy powiedzieli WIRED, że w niektórych przypadkach hakerzy 29155 najwyraźniej przygotowywali się do bardziej destrukcyjnych cyberataków podobnych do Whispergate, ale nie mieli potwierdzenia, że jakikolwiek taki atak faktycznie miał miejsce. Departament Stanu USA w czerwcu osobno ujawnił że ci sami hakerzy z GRU, którzy przeprowadzili Whispergate, próbowali również znaleźć możliwe do zhakowania luki w zabezpieczeniach obiektów infrastruktury krytycznej w USA, „szczególnie w sektorach energetycznym, rządowym i lotniczym”.
Według urzędników zachodnich agencji wywiadowczych w wielu przypadkach zamiarem hakerów 29155 było szpiegostwo wojskowe. Na przykład w jednym z krajów Europy Środkowej grupa włamała się do agencji kolejowej, aby szpiegować pociągi transportujące dostawy na Ukrainę. Mówi się, że na samej Ukrainie hakerzy złamali zabezpieczenia kamer monitorujących konsumentów, być może po to, aby uzyskać widoczność ruchu ukraińskich żołnierzy lub broni. Ukraińscy urzędnicy już to zrobili ostrzeżony że Rosja zastosowała tę taktykę do ataków rakietowych, chociaż urzędnicy wywiadu, którzy rozmawiali z WIRED, nie mieli dowodów na to, że operacje 29155 zostały wykorzystane specjalnie do tego namierzania rakietowego.