Doniesienia o próbach cyberataków na Najwyższą Izbę Kontroli skomentował ekspert do spraw cyberbezpieczeństwa Adam Haertle. Według nieoficjalnych informacji urządzenia NIK miały zostać zaatakowane ponad 7000 razy. - Wiemy o jakichś połączeniach, które mają pewne cechy wspólne z infekcjami Pegasusa, ale istnieje bardzo duże prawdopodobieństwo, że były to połączenia do zupełnie innych domen - wyjaśniał w sobotę w rozmowie z TVN24. - W świecie bezpieczeństwa uznajemy to za pierwszy sygnał, który sugeruje, że dane urządzenie należy zbadać. Dopiero musimy zajrzeć do tego urządzenia, żeby zobaczyć, czy ten Pegasus tam był - tłumaczył.
Według nieoficjalnych informacji TVN24, 544 urządzenia Najwyższej Izby Kontroli próbowano zaatakować 7300 razy. Chodzi o telefony, komputery i tablety. Urządzenia te należały do kontrolerów, kierowców, pracowników administracji. Do ataków miało dojść w ciągu niemal dwóch lat - w 2020 i 2021 roku. Wśród urządzeń, które były celem tych działań, około 100 należało do kontrolerów.
W NIK-u powstał kilkuosobowy zespół złożony ze specjalistów od cyberbezpieczeństwa, w którego skład wszedł także zewnętrzny ekspert. Zespół zajmuje się szukaniem luk i zabezpieczaniem systemów. Przeanalizował zdarzenia uznane za podejrzane przez operatora sieci komórkowej, z której korzysta Najwyższa Izba Kontroli.
- To dane zewnętrzne, zebrane przez operatora. Nie ma możliwości manipulacji nimi - zaznaczył w rozmowie z tvn24.pl ekspert wchodzący w skład zespołu. - Wybraliśmy z tego zbioru adresy IP, które były połączone z adresami uznanymi zarówno przez Citizen Lab, jak i Amnesty International za element systemu Pegasus - dodał.
Analiza, na którą powołuje się rozmówca tvn24.pl, wykazała, że "ponad 40 adresów IP odpowiada domenom używanym przez Pegasusa".
Domena, IP, serwer - ekspert wyjaśnia różnice
Do tych danych odniósł się w sobotę w TVN24 ekspert do spraw cyberbezpieczeństwa Adam Haertle, redaktor naczelny zaufanatrzeciastrona.pl. Jak wyjaśniał, "domeny to adresy, które wpisujemy w przeglądarkę, na przykład tvn24.pl". - I za taką domeną może kryć się, a nawet powinien - adres IP. To będą cztery liczby przedzielone kropkami - mówił.
- W danym momencie dana domena ma z reguły tylko jeden adres IP, ale może zdarzyć się tak, że ten sam adres IP jest używany przez wiele domen. Może też się okazać, że ktoś sobie założył domenę na serwerze, na którym jest tysiąc innych domen, na tym samym adresie IP - dodał.
Haertle: domena mogła znaleźć się na serwerze, na którym znajdują się tysiące innych
Haertle odniósł tę wiedzę do kwestii doniesień o próbach ataków hakerskich na pracowników Najwyższej Izby Kontroli. Zaznaczył, że być może "badacze NIK-u wzięli faktycznie adresy domen, tych adresów, z którymi łączyły się urządzenia zainfekowane Pegasusem, co sprawdziło Amnesty International, Citizen Lab i potwierdziło, że na przykład w marcu 2019 roku z domeną newsletter.com łączyły się urządzenia zainfekowane Pegasusem".
- Badacze sprawdzili, że ta domena w marcu 2019 roku miała konkretny adres IP i zaczęli szukać połączeń z tym adresem w swojej sieci, co brzmi logicznie - wyjaśniał ekspert. - Jeżeli coś z ich sieci z tym samym adresem się łączyło, to jest szansa, że tam doszło do jakiejś infekcji. Tylko trzeba wziąć pod uwagę fakt, że ta domena mogła znaleźć się na serwerze, na którym znajdują się tysiące domen. I ten adres IP (...) jest właśnie adresem takiego serwera - zastrzegł jednocześnie.
Ekspert stwierdził, że "mamy do czynienia z sytuacją, że wiemy o jakichś połączeniach, które mają pewne cechy wspólne z infekcjami Pegasusa, ale istnieje bardzo duże prawdopodobieństwo, że były to połączenia do zupełnie innych domen". - To nie wyklucza, że tam mogła być jakaś infekcja Pegasusa, ale raczej nie pięćset - ocenił.
"Pierwsze ostrzeżenie, żeby zbadać sprawę dalej"
- Generalnie ta metoda patrzenia na połączenia do konkretnych adresów jest rzadko uznawana za decydującą o infekcji. W świecie bezpieczeństwa uznajemy to za pierwszy sygnał, który sugeruje, że dane urządzenie należy zbadać. Dopiero musimy zajrzeć do tego urządzenia, żeby zobaczyć, czy ten Pegasus tam był - mówił Haertle. - Twierdzenie z góry, że jeżeli coś się z czymś łączyło w internecie to znaczy, że jest zainfekowane, nie brzmi dobrze w uszach informatyka. To raczej jest pierwsze ostrzeżenie, żeby zbadać sprawę dalej - wyjaśniał.
Dodał, że "dzisiaj w internecie bardzo dużo urządzeń łączy się z bardzo dużą liczbą różnych adresów IP i robi to cały czas". - Jak my śpimy, to nasz telefon łączy się z setkami adresów IP i szansa, że w przestrzeni dwóch lat połączył się z jakimś adresem, który kiedyś był związany z Pegasusem, wynosi 100 procent. Stąd każda firma, która przeprowadziłaby podobne badanie, pewnie doszłaby do podobnych, niepokojących wniosków - setki urządzeń zainfekowanych. Ale dopiero badanie samego urządzenia powie, czy ten Pegasus tam faktycznie był czy jednak nie - podsumował Haertle w rozmowie z TVN24.
Informację o próbach cyberataków na NIK jako pierwsze podało RMF FM. Stwierdziło, że "doszło do ponad 6 tysięcy ataków systemem Pegasus". Przekazało, że "największe wzmożenie wykrytych działań odnotowano tuż po wyborach prezydenckich w 2020 roku, gdy NIK zapowiedział kontrolę głosowania kopertowego". Wymieniono, że do drugiej fali ataków miało dojść jesienią 2021, gdy kontrolerzy NIK zakończyli prace nad raportem dotyczącym kontroli Funduszu Sprawiedliwości. Do tych informacji odniósł się rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn. Powiedział, że "insynuacje inspirowane przez Mariana Banasia, dotyczące rzekomej inwigilacji przez służby specjalne pracowników NIK, są nieprawdziwe".
Źródło: TVN24
Źródło zdjęcia głównego: Shutterstock