Szwajcarskie służby specjalne miały kontakty z rosyjskimi firmami. Miało to również swoje zalety

To, co Kaspersky opublikował dziesięć lat temu, miało potencjał wybuchowy. Rosyjska firma zajmująca się bezpieczeństwem IT opublikowała szczegóły dotyczące technologicznie niezwykle zaawansowanego złośliwego oprogramowania, czyniąc je tym samym bezużytecznym. Zachodnia agencja wywiadowcza użyła złośliwego oprogramowania do swoich działań szpiegowskich. Celami były rozmowy nuklearne z Iranem i sama rosyjska firma Kaspersky. A Szwajcaria była w samym środku tego wszystkiego.

Wiosną 2015 r. w Lozannie i Genewie odbędą się rozmowy na wysokim szczeblu na temat umowy nuklearnej z Iranem. Uczestnikami będą USA, Rosja, Chiny i Niemcy. To, o czym dyplomaci dyskutują w salach konferencyjnych luksusowych hoteli w Szwajcarii , jest przedmiotem żywego zainteresowania kraju, który nie zasiada przy stole: Izraela.

W związku z tym kraj rozpoczął kampanię szpiegowską. Atakujący przeniknęli do systemów informatycznych hoteli, używając złośliwego oprogramowania Duqu 2.0, wyrafinowanego oprogramowania, które niewiele krajów mogło opracować.

Federalna Służba Wywiadowcza (NDB) dopiero niedawno, wiosną 2015 r., powołała zespół ds. cyberbezpieczeństwa. Rozpoczęła ona dochodzenie w sprawie operacji szpiegowskiej. Według źródła, NDB współpracuje z Kaspersky Lab, które wcześniej odkryło Duqu 2.0 w swoich systemach. NDB udaje się zabezpieczyć wiele zainfekowanych komputerów w trzech lokalizacjach. Prokuratura Federalna wszczyna postępowanie, które później zostaje umorzone . Mówi się jednak, że Szwajcaria interweniowała w Izraelu za pośrednictwem kanałów dyplomatycznych.

Ten incydent rzekomo oznaczał początek współpracy między FIS a firmą zajmującą się bezpieczeństwem IT Kaspersky, która trwała kilka lat. W szczególności szef zespołu cybernetycznego FIS i zaufany kontakt w Kaspersky mieli kilka kontaktów. Uważa się, że tym kontaktem był długoletni szef działu badań i analiz Kaspersky, szanowany specjalista ds. bezpieczeństwa IT, który pracował w Kaspersky do 2023 r. – i co znamienne, pochodzi z Rumunii, a nie z Rosji.

Dzisiaj, dziesięć lat później, ta współpraca z Kaspersky jest krytykowana. SRF uzyskał dostęp do poufnego raportu śledczego Federalnej Służby Wywiadowczej (NDB) dotyczącego działań zespołu cybernetycznego. Wrażenie wywołane dochodzeniem SRF jest takie, że zespół cybernetyczny, a zwłaszcza jego lider, byli blisko związani z Rosją i mogli nawet współpracować z rosyjskimi służbami wywiadowczymi.

Ale ten pogląd nie jest przekonujący. Kilku ekspertów ds. bezpieczeństwa IT, rozmawiając z NZZ, zakwestionowało interpretację SRF. Nie uważają oni współpracy z Kaspersky za fundamentalnie problematyczną. Fakty, które SRF teraz upublicznił, również pozostawiają wiele pytań bez odpowiedzi. Źródła oskarżeń, które SRF przyjął, nie są bezstronne.

Ogólnie rzecz biorąc, zupełnie inne stwierdzenie wydaje się prawdopodobne: Współpraca z Kaspersky mogła być bardzo korzystna dla Szwajcarii. Pokazuje to analiza kontrowersyjnych punktów.

Firmy zajmujące się bezpieczeństwem IT są atrakcyjnymi partnerami dla agencji wywiadowczych. Prywatne firmy często identyfikują cyberoperacje państw lub przestępców wcześniej niż większość agencji wywiadowczych. Posiadają również informacje, które można połączyć z innymi danymi, aby stworzyć szerszy obraz. Wymiana informacji jest zatem atrakcyjna dla obu stron.

Kaspersky, założona w Moskwie w 1997 r., szybko stała się jedną z najważniejszych firm zajmujących się bezpieczeństwem IT i dostawcami oprogramowania antywirusowego. Miała silną reputację techniczną. Przez długi czas publikacje firmy koncentrowały się również na cyberoperacjach rosyjskich służb wywiadowczych. Kaspersky publikował obszerne artykuły na temat grupy Turla, która jest przypisywana Federalnej Służbie Bezpieczeństwa (FSB), a także na temat APT 28, cyberjednostki wojskowego wywiadu GRU.

Zrozumiałe jest zatem, że FDB zaczęła współpracować w sektorze cyberprzestrzeni nie tylko z zachodnimi firmami, ale także z Kaspersky, począwszy od 2015 r. Chociaż Rosja zaanektowała ukraiński półwysep Krym w poprzednim roku, Zachód nałożył w rezultacie tylko kilka sankcji. Otwarty konflikt między Moskwą a Zachodem jeszcze nie wybuchł.

Jednocześnie już wtedy, w 2015 r., było jasne, że Kaspersky może mieć pewne kontakty z państwem rosyjskim – niekoniecznie będąc firmą-przykrywką dla rosyjskich służb wywiadowczych. Poszczególni pracownicy mogli – oficjalnie lub nieoficjalnie – przekazywać informacje i służyć jako źródła dla rosyjskich służb.

Takie powiązania istnieją nie tylko w Rosji lub innych państwach autorytarnych. Amerykańskie firmy zajmujące się cyberbezpieczeństwem, takie jak Crowdstrike i Microsoft, prawdopodobnie mają również co najmniej odosobnione kontakty z amerykańskimi agencjami wywiadowczymi. Na przykład uderzające jest to, że amerykańskie firmy zajmujące się bezpieczeństwem praktycznie nigdy nie publikują szczegółów technicznych dotyczących amerykańskich lub innych zachodnich operacji cybernetycznych. Jest raczej mało prawdopodobne, aby było tak dlatego, że nie obserwują takich działań.

Współpracując z prywatnymi firmami zajmującymi się bezpieczeństwem IT, kluczowe jest rozważenie ryzyka. Uzyskanie informacji o operacjach cybernetycznych i grupach atakujących od takich dostawców nie stanowi problemu, a dzielenie się informacjami zazwyczaj nie stanowi również zagrożenia dla bezpieczeństwa.

Największe zagrożenie pochodzi z oprogramowania, które takie firmy ochroniarskie oferują do obrony przed atakami. Klient musi zainstalować to oprogramowanie na swoich systemach i przyznać mu szerokie uprawnienia. Pozwala to atakującemu na wykorzystanie oprogramowania jako tylnych drzwi do odpowiednich systemów. Jednak w przypadku NDB to oprogramowanie zabezpieczające nie było zaangażowane, ponieważ rząd federalny go nie zainstalował.

Według SRF, NDB kontaktowało się również z dwoma innymi firmami, które miały powiązania z Rosją. SRF uważa tę współpracę za kolejny dowód na to, że NDB jest zamieszane w aferę rosyjską. Jednak powiązania z dwoma dostawcami usług serwerowych, jak opisuje SRF, wydają się być bezproblemowe.

NDB wielokrotnie otrzymywało dane z serwerów jednej firmy, którą współtworzyło dwóch Rosjan. Według wewnętrznego raportu NDB, druga firma była „najważniejszym źródłem informacji” dla zespołu cybernetycznego. Może to wynikać z faktu, że według SRF „rosyjscy hakerzy” często korzystali z serwerów firmy. Pieniądze płynęły również z NDB do tej drugiej firmy za pośrednictwem Kaspersky.

Jednakże fakty te nie wskazują na jakąkolwiek bliskość zespołu cybernetycznego do Rosji. Wręcz przeciwnie. NDB wydaje się uzyskać informacje o rosyjskich aktorach za pośrednictwem firm – co mogło być ważne dla jego pracy. Fakt, że zaangażowane były pieniądze, potwierdza tę interpretację. Powszechną praktyką agencji wywiadowczych jest płacenie źródłom za ich informacje. NDB ma nawet wyraźne pozwolenie na takie działanie na mocy prawa .

Być może najbardziej intrygującym aspektem śledztwa SRF jest ostrzeżenie wysłane do NDB przez przyjazną służbę. We wrześniu 2018 r. anonimowa zachodnia służba partnerska poinformowała NDB, że rosyjska agencja wywiadu wojskowego GRU posiada „tajne informacje”, które pracownik NDB rzekomo przekazał za pośrednictwem firmy Kaspersky.

Poufne informacje rzekomo dotyczą rosyjskich agentów, którzy byli w Hadze w marcu 2018 r. Dokładne okoliczności przekazania danych są tak samo niejasne, jak charakter informacji. Utrudnia to ocenę. Istnieją jednak wiarygodne wyjaśnienia tego incydentu, bez konieczności poświadczania wątpliwego zachowania Federalnej Służby Wywiadowczej.

We wrześniu 2016 r. GRU przeprowadziło cyberatak na urzędników Światowej Agencji Antydopingowej (WADA) w hotelu w Lozannie. FIS, wraz ze swoimi ekspertami od cyberataków, był w stanie zidentyfikować dwóch agentów , którzy udali się do Szwajcarii w celu przeprowadzenia operacji szpiegowskiej. Informacje te pomogły Holandii w kwietniu 2018 r. odkryć czterech agentów GRU, którzy zaplanowali atak na Organizację ds. Zakazu Broni Chemicznej (OPCW) w Hadze. Dwóch z nich to agenci z Lozanny.

Informacje, które płynęły ze Szwajcarii do GRU, wydają się mieć związek z tą sprawą. Dlatego wydaje się wysoce nieprawdopodobne, aby pracownik FIS, a nawet szef zespołu cybernetycznego, szpiegował w imieniu Rosji i przekazywał informacje GRU. W końcu sam zespół cybernetyczny odegrał wcześniej kluczową rolę w ujawnieniu agentów GRU. Co więcej, dane te wyraźnie nie były ostrzeżeniem dla GRU. W przeciwnym razie GRU nie wysłałoby swoich agentów do Hagi wiosną 2018 r.

Istnieje inne wyjaśnienie faktu, że informacje z FIS zostały przekazane GRU za pośrednictwem Kaspersky. Ze względu na współpracę z Kaspersky, FIS mógł udostępnić techniczne wskaźniki ataku w Lozannie, takie jak adresy IP, adresy e-mail lub części złośliwego oprogramowania, firmie zajmującej się bezpieczeństwem IT. Kaspersky przeprowadził również badania nad grupą GRU APT 28.

Udostępnianie takich informacji wiąże się z pewnym ryzykiem. W przypadku Kaspersky, FIS musi założyć, że informacje te mogą zostać przekazane władzom rosyjskim. Jednocześnie, jako firma rosyjska, Kaspersky może mieć interesujące informacje, które mogłyby pomóc FIS zidentyfikować agentów biorących udział w ataku na WADA.

Innym pytaniem jest, czy informacja była już uznawana za poufną w momencie jej udostępnienia. Niekoniecznie tak było w przypadku wskaźników technicznych. Możliwe, że dopiero później — ze względu na kontekst GRU — informacja nabrała wybuchowości, która skłoniła serwis partnerski FIS do wydania ostrzeżenia.

Niektóre zachodnie serwisy partnerskie postrzegały cyberzespół FDB jako problem. To odkrycie można wywnioskować z badań SRF. Od 2018 r. do jesieni 2020 r. dwie zaprzyjaźnione służby wywiadowcze interweniowały kilkakrotnie, skarżąc się na rzekome „nielegalne udostępnianie danych” i kompromitujące zachowanie lidera cyberzespołu. Nie jest jasne, co dokładnie mieli na myśli.

Obie agencje najwyraźniej posunęły się tak daleko, że zagroziły Federalnej Służbie Wywiadowczej zakończeniem współpracy, jeśli szef zespołu cybernetycznego pozostanie zatrudniony. Wiosną 2021 r. pracownik, o którym mowa, został zwolniony i przeniesiony na inne stanowisko w rządzie federalnym .

Powód odejścia podany wówczas był taki, że FIS otrzymywał i przetwarzał cybernetyczne informacje przez lata bez niezbędnej podstawy prawnej. Teraz wydaje się prawdopodobne, że interwencje zagranicznych usług partnerskich przynajmniej przyczyniły się do zwolnienia pracownika.

Kluczowym pytaniem jest, co motywowało zagraniczne groźby. Fakt, że współpraca NDB z Kaspersky była solą w oku usług partnerskich, nie jest dowodem na wykroczenie. Powody polityczne lub niezadowolenie z ogólnie bardziej otwartej wymiany danych z prywatnymi firmami również mogły być decydujące.

Nie wiadomo, które dwa kraje interweniowały w Bernie. Jest jednak prawdopodobne, że zaangażowane były USA lub inny kraj z sojuszu wywiadowczego Five Eyes. Relacje między USA a Kaspersky znacznie się pogorszyły od 2017 r. W tym czasie USA zdecydowały się zakazać oprogramowania antywirusowego w agencjach rządowych z powodu rzekomego wycieku danych z prywatnego komputera pracownika .

Wiosną 2018 r. firma Kaspersky opublikowała szczegóły techniczne dotyczące cyberoperacji o nazwie „Slingshot”. Operacja została przeprowadzona przez amerykańskie wojsko , które od lat używało jej do zbierania informacji o terrorystach na tysiącach urządzeń na Bliskim Wschodzie i w Afryce. Dzięki tej publikacji firma Kaspersky ujawniła operację, prawdopodobnie jako celową odpowiedź na zakaz. USA nie były z tego zadowolone.

Na tym tle scenariusz, w którym USA lub inne państwa zachodnie, takie jak Izrael, chciałyby uniemożliwić NDB współpracę z Kaspersky, nie wydaje się nieprawdopodobny. Być może z powodu rzeczywistego zaniepokojenia możliwym wyciekiem danych do Rosji, ale być może również z powodów zasadniczo politycznych.

W każdym razie jasne jest, że oskarżenia wysuwane przez zagraniczne służby wywiadowcze nie stanowią niezależnego dowodu na to, że pracownicy FDB faktycznie działali w sposób niedbały lub wręcz sprzeczny z interesami Szwajcarii.

Na podstawie dostępnych faktów, ostateczna ocena pracy NDB jest niemożliwa. Od dawna wiadomo, że cyberzespół NDB nie miał odpowiedniej podstawy prawnej do swoich działań przez lata. Jednak było to przede wszystkim wynikiem braku przywództwa .

Fragmenty poufnego raportu NDB, który SRF teraz upublicznia, rzeczywiście dostarczają ciekawych spostrzeżeń. Nie pozwalają jednak na jasną ocenę wydarzeń. Sfabrykowanie „sprawy rosyjskiej” na podstawie dostępnych informacji, jak robi to SRF, wydaje się ryzykowne.

Dlatego też znacznie bardziej prawdopodobne jest, że zdarzenia, o których znamy jedynie kilka szczegółów, da się wyjaśnić za pomocą normalnych procedur wywiadowczych w obszarze cyberprzestrzeni.