W dniu 21 maja 2025 r. brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) oraz agencje partnerskie z dziesięciu państw – w tym Polski – ujawniły, że rosyjska jednostka wywiadu wojskowego GRU 26165 (APT-28/Fancy Bear) przejęła dostęp do około 10 000 kamer przemysłowych i miejskich w Europie. Około 4 proc. z nich, czyli blisko 400 urządzeń, znajdowało się na terytorium Polski.
Operacja miała charakter czysto wywiadowczy: służby rosyjskie chciały obserwować przejazdy transportów humanitarnych i wojskowych kierowanych na Ukrainę, a w razie potrzeby manipulować obrazem, by opóźniać lub blokować konwoje.
Co stało się między 15 a 22 maja?
Pierwsze sygnały o nieautoryzowanym ruchu na polskich kamerach IP pojawiły się w połowie miesiąca, lecz dopiero 21 maja – po wspólnej analizie agencji z USA, Wielkiej Brytanii, Polski i ośmiu innych państw NATO – opublikowano ostrzeżenie techniczne, wskazujące, że GRU 26165 od 2022 r. sukcesywnie gromadził dostęp do kamer położonych w pobliżu przejść granicznych, stacji kolejowych i jednostek wojskowych.
Według raportu CISA 26165 stosował zestaw znanych metod — od password spraying po spear-phishing i exploity CVE-2023-23397 oraz CVE-2023-38831 — by uzyskać dane logowania do paneli kamer oraz kont pocztowych administratorów.
Polska perspektywa i reakcja rządu
Jeszcze tego samego dnia Ministerstwo Cyfryzacji wydało komunikat, w którym potwierdziło udział polskich służb (ABW i SKW) w międzynarodowym śledztwie oraz wezwało operatorów systemów CCTV do natychmiastowej zmiany haseł i włączenia uwierzytelniania dwuskładnikowego.
Wicepremier Krzysztof Gawkowski opisał cybersferę jako „pole realnej walki o bezpieczeństwo państwa” i zapowiedział audyt wszystkich urządzeń IoT podłączonych do sieci administracji publicznej.
Równolegle Bankier.pl informował, że co najmniej kilka firm logistycznych rozpoczęło pilne przeglądy firmware’u swoich kamer po otrzymaniu ostrzeżenia z resortu.
Konsekwencje dla bezpieczeństwa
Z opublikowanej przez NSA analizy wynika, że GRU 26165 korzystał z kompromitowanych routerów SOHO jako węzłów pośrednich, co utrudniało geolokalizację atakujących.
Po uzyskaniu dostępu ograniczał się zwykle do wykonywania pojedynczych klatek – migawkowych zdjęć – z kamer, by nie wzbudzać alarmów związanych z wysokim transferem.
Według NCSC jednym z celów były zestawienia tras i harmonogramów pociągów z pomocą wojskową dla Kijowa, co Rosja próbowała zestawiać z przechwyconymi manifestami przewozowymi.
Chociaż atak nie skutkował wyciekiem danych osobowych, pokazał podatność infrastruktury monitoringu na ataki państwowe i prywatne.
Specjaliści podkreślają, że nawet krótkotrwały podgląd może wystarczyć do śledzenia kluczowych transportów wojskowych, a w scenariuszu ofensywnym – do koordynacji sabotażu fizycznego.
Zalecenia i prognozy
CISA i jej partnerzy zalecają operatorom kamer segmentację sieci, cykliczne aktualizacje firmware’u oraz wdrożenie silnych polityk haseł, bo kampania „prawdopodobnie będzie kontynuowana”.
Eksperci zgodnie oceniają, że infrastruktura logistyczna Polski – z racji roli korytarza tranzytowego na Ukrainę – pozostanie jednym z głównych celów rosyjskich operacji cyfrowych w nadchodzących miesiącach.
W efekcie ataku Polska zyskała kolejny argument na rzecz szybszej wymiany urządzeń sieciowych na modele wspierające kryptograficzne uwierzytelnianie i centralne zarządzanie kluczami. Jednocześnie wydarzenia z drugiej połowy maja 2025 r. jasno pokazują, że bezpieczeństwo cybernetyczne i fizyczne infrastruktury transportowej stało się nierozerwalne – a każdy niezałatany port czy domyślne hasło do kamery może przełożyć się na realne ryzyko na granicy.
Czytaj też: