Jak działa rosyjska dywersja w Europie: „Strategia dzięcioła”

W jednym kraju dochodzi do podpalenia, w innym do ataku hakerskiego, jeszcze gdzie indziej do przerwy w dostępie do internetu. Centrum Studiów Strategicznych i Międzynarodowych w Waszyngtonie (CSIS) wyliczyło, że liczba aktów rosyjskiego sabotażu w Europie w latach 2022-23 zwiększyła się czterokrotnie, aby w roku 2024 ulec potrojeniu.

Z kolei dane organizacji Armed Conflict Location & Event Data wskazują, że od początku 2022 r. do kwietnia tego roku doszło w Europie do 190 wydarzeń, określanych eufemistycznie mianem „incydentów”, a inspirowanych z Kremla.

Działania de facto wojenne, które na terenie Europy Zachodniej i Środkowej Rosja prowadzi przeciwko krajom z tej części kontynentu, toczą się pod progiem wojny klasycznej, otwartej, konwencjonalnej. Wielu ich nie zauważa. Mimo tego są jak najbardziej realne.

Międzynarodowe operacje hakerskie

Na Holendrów ta wiadomość spadła jak grom z jasnego nieba. Hakerzy wykradli dane wszystkich pozostających w czynnej służbie policjantów: ich nazwiska, stanowiska, numery telefonów. Choć nie ma śladów świadczących o tym, że doszło również do wycieku danych operacyjnych, atak ten miał – wedle holenderskich mediów – „wstrząsnąć morale i poczuciem bezpieczeństwa” 65 tys. funkcjonariuszy.

To jednak tylko wierzchołek problemu. Wedle opublikowanego w zeszłym tygodniu wspólnego raportu holenderskich agencji wywiadowczych AIVD i MIVD, prawdziwym celem tego ataku były informacje dotyczące broni przesyłanej Ukrainie przez zachodnie państwa, a dane policjantów to „element poboczny”, bo napastnicy chcieli „monitorować policyjne powiązania z logistyką wojskową”.

Grupa hakerska, której nadano nazwę Laundry Bear, działa intensywnie od ponad roku, a ataki w Holandii są – wedle tamtejszych służb – częścią większej międzynarodowej operacji. Ta sama grupa nie dalej jak w kwietniu zaatakowała co najmniej 20 pracowników organizacji pozarządowych w Europie zaangażowanych w pomoc Ukrainie. Wysłano do nich fałszywe maile, rzekomo z zaproszeniem na Europejski Szczyt Obrony i Bezpieczeństwa. Napastnicy szukali informacji o zakupach i produkcji sprzętu wojskowego, jego komponentów i podwykonawców.

Grupa Laundry Bear nie działa sama. W ubiegłym miesiącu 21 rządowych agencji wywiadowczych i kontrwywiadowczych z Wielkiej Brytanii, Niemiec, Francji, Polski i innych krajów opublikowało ostrzeżenie przed działaniami jednostki cybernetycznej rosyjskiego wywiadu wojskowego GRU nr 26165, znanej jako Fancy Bear. Prowadzi ona operacje wymierzone w kluczową infrastrukturę Zachodu, zwłaszcza w „niemal wszystkie rodzaje transportu: lotniczy, drogowy i kolejowy”.

Czym zajmuje się GRU

Na obrzeżach Moskwy, w rozległym kompleksie ze szkła i stali powszechnie nazywanym „Akwarium” znajduje się kwatera główna GRU. Rezyduje tu także utworzony dwa lata temu Departament Zadań Specjalnych, gdzie prawdopodobnie planowana jest większość działań przeciwko Europie.

Z raportu CSIS wynika, że trzon Departamentu stanowi kilka jednostek. Najbardziej znana to Centrum Szkolenia Specjalistów Wywiadu 161, zwane Centrum 161 (jednostka nr 29155). Istnieje od lat 60. XX w. i łączy specjalistów od wywiadu osobowego z siłami operacji specjalnych. Wysyła funkcjonariuszy do Europy w warunkach częściowej legalizacji, czyli z fikcyjną tożsamością umożliwiającą krótkotrwałe działania operacyjne.

To Centrum 161 odpowiada m.in. za nieudaną próbę zabójstwa Siergieja Skripala (funkcjonariusza rosyjskiego wywiadu, który przeszedł na stronę Brytyjczyków i mieszka w Wielkiej Brytanii), za próbę otrucia Aleksieja Nawalnego, finansowanie zamachów na siły zachodnie w Afganistanie czy próbę przewrotu w Czarnogórze w 2016 r.

Główny Zarząd Badań Głębokowodnych

Z kolei jednostka nr 54654, także wchodząca w skład Departamentu Zadań Specjalnych, zajmuje się budową sieci nielegalnych agentów działających w warunkach pełnej legalizacji. Rekrutuje osoby z doświadczeniem wojskowym albo cudzoziemców studiujących w Rosji. „Zatrudnia też kontraktorów poprzez firmy przykrywkowe, usuwa ich dane osobowe z rejestrów państwowych i umieszcza swoich oficerów w rosyjskich ministerstwach niezwiązanych z obroną lub w firmach prywatnych” – podaje CSIS.

W działaniach dywersyjnych Departamentu – zwłaszcza w operacjach cybernetycznych – uczestniczą także inne jednostki, jak nr 26165 (Fancy Bear).

W tych działaniach GRU jest wspierana przez inne instytucje „siłowe”: Federalną Służbę Bezpieczeństwa, Służbę Wywiadu Zagranicznego czy Główny Zarząd Badań Głębokowodnych (ten operuje okrętami podwodnymi i statkami zdolnymi do działań sabotażowych).

Jak ich działania wyglądają w praktyce?

Jednorazówki, czyli aktorzy niepaństwowi

Ostatnio głośno jest o rosyjskich „agentach jednorazowego użytku” – zwykle mężczyznach w wieku 20-30 lat, rekrutowanych przez Telegram czy popularne gry online, czasem motywowanych ideologicznie, ale najczęściej działających po prostu dla pieniędzy. To oni odpowiadają za obserwacje obiektów wojskowych czy przemysłowych, za podpalenia i dostarczanie przesyłek, w których są ukryte ładunki wybuchowe.

Moskwa zaczęła ich wykorzystywać po tym, jak po rozpoczęciu inwazji na Ukrainę w 2022 r. wydalono z Europy kilkuset rosyjskich oficerów wywiadu działających pod przykrywką dyplomatyczną. Autorzy raportu organizacji Horizon Intelligence stwierdzają, że nowa taktyka ma z perspektywy Kremla sporo zalet: 

„Pozwala oficerom GRU pozostawać w Rosji, ale prowadzić operacje w całej Europie; umożliwia prowadzenie operacji na dużą skalę niskim kosztem oraz umożliwia wiarygodne zaprzeczanie związkom z nimi”.

A że nieprzeszkoleni „agenci jednorazowego użytku” popełniają błędy i dają się łatwo złapać, nie ma dla Rosjan znaczenia.

Zrekrutowane online „jednorazówki” to oczywiście nie jedyni „aktorzy niepaństwowi” (jak ich nazywają specjaliści) wykorzystywani przez Rosjan do prowadzenia działań poniżej progu wojny konwencjonalnej. Sięgają także po organizacje przestępcze. O ich sojuszu ze światem przestępczym informował niedawno Europol, podkreślając, że współpraca kryminalistów i rosyjskich służb pozwala im na „korzystanie nawzajem ze swoich zasobów, doświadczeń i ochrony w celu osiągania własnych celów”.

Bułgarska siatka na Wyspach Brytyjskich

Dwa używane chryslery i mercedes viano miały od czasu do czasu przejeżdżać niedaleko amerykańskiej bazy Patch Barracks pod Stuttgartem. Tylko tyle. W samochodach zainstalowano urządzenia IMSI-catchers, które podszywają się pod stacje bazowe sieci komórkowych i przechwytują dane z telefonów znajdujących się w ich zasięgu. W Patch Barracks szkolono ponoć ukraińskich żołnierzy w obsłudze systemów obrony powietrznej Patriot. Ostatecznym celem miało być przekazanie rosyjskim służbom informacji pozwalających na zabicie operatorów i zniszczenie systemów.

Szpiegowskiej operacji pod Stuttgartem nigdy nie przeprowadzono, bo odpowiedzialna za nią siatka została rozbita tuż przed tym, jak wyruszyła z Wielkiej Brytanii do Niemiec. Z akt sądowych wynika, że sześciu Bułgarów nie tylko starannie zaplanowało tę akcję, ale również szpiegowało i planowało zamachy na co najmniej dwóch dziennikarzy, rosyjskiego śledczego na emigracji i na kazachskiego dysydenta.

Bułgarzy prowadzili też kampanie propagandowe oraz zamierzali dokonać prowokacji politycznej wymierzonej w Kazachstan. Nikt z tej grupy nie był w takich celach przeszkolony. Mimo to przez kilka lat prowadzili operacje w Hiszpanii, Niemczech, Austrii, na Węgrzech i w Czarnogórze. W marcu wszyscy usłyszeli wyroki skazujące.

Szpiegowscy kontraktorzy w „luce rynkowej”

Co w tej historii wydaje się najciekawsze, to fakt, iż proces ujawnił nietypową strukturę siatki. Zamiast klasycznego „pierścienia”, którym kierowałby doświadczony oficer wywiadu, układ przypominał relację zleceniodawca–podwykonawca, a w charakterze zleceniodawcy występowały GRU i FSB.

Alison Morgan, główna brytyjska prokuratorka prowadząca tę sprawę, wyjaśniała, że rosyjskie służby zapełniły w ten sposób „lukę rynkową”, jaka powstała po wydaleniu z Wielkiej Brytanii oficerów rosyjskich służb po próbie zabicia Skripala w 2018 r.

W tym celu operacje na Wyspach zlecono „menedżerowi kontraktowemu”, Janowi Marsalkowi. To były dyrektor finansowego koncernu Wirecard, który po tym, jak firma upadła w 2020 r., ukrywa się najpewniej w Rosji.

Wiele wskazuje, że Marsalek sam zgłosił się do rosyjskich służb, i że występując jako łącznik z rosyjskimi zleceniodawcami, zwerbował w Wielkiej Brytanii „operacyjnego menedżera kraju”, a ten z kolei – jako swoich podwykonawców – znajomych, których nazywał „minionkami”. Morgan twierdzi, że razem funkcjonowali jako „szpiegowscy kontraktorzy”, realizując zamówienia Kremla i „aktywnie zabiegając o kolejne zlecenia”.

Rosyjski tankowiec nad polskim kablem

Kolejny front, na którym Rosja jest ostatnio aktywna, to Bałtyk. Tu jej najważniejszą bronią są stare tankowce. Tak zwana „flota cieni” początkowo zajmowała się transportem objętej sankcjami rosyjskiej ropy. Jakiś czas temu jej zadania zaczęły się zmieniać, a Moskwa właśnie pokazała, jak daleko gotowa jest się posunąć.

Tankowiec „Jaguar” na estońskie wody terytorialne wpłynął 13 maja. Estońska marynarka próbowała przeprowadzić inspekcję jednostki, która cztery dni wcześniej straciła prawo do pływania pod banderą Gabonu. Kapitan nie zatrzymał się jednak na wezwanie, a w okolicy pojawił się rosyjski myśliwiec Su-35, który wtargnął w estońską przestrzeń powietrzną. „Jaguar” dopłynął do portu w Primorsku bez kontroli. „Federacja Rosyjska po raz pierwszy sięgnęła po środki wojskowe w celu ochrony floty cieni” – podała estońska armia.

Floty, która coraz częściej świadczy nie tylko usługi transportowe. Należące do niej statki mają ostatnio częste „usterki”, które prowadzą do niszczenia podmorskich instalacji. Między październikiem 2023 r. a styczniem 2025 r. zerwanych zostało 11 biegnących po dnie Bałtyku światłowodów i kabli energetycznych oraz łączący Estonię z Finlandią gazociąg.

Jeśli statki, które to zrobiły, udało się ująć, ich kapitanowie twierdzili, że ciągnęli po dnie ciężkie kotwice z powodu problemów technicznych lub… niekompetencji. Na taką „usterkę” zanosiło się też kilkanaście dni temu, gdy tankowiec „Sun” wykonywał podejrzane manewry w pobliżu łączącego Ustkę ze szwedzkim Karlshamn przewodu SwePol Link. Statek oddalił się, gdy zjawił się polski samolot patrolowy.

Doktryna generała Gierasimowa

Podpalenia centrów handlowych czy wysypisk śmieci, bazgranie na ścianach synagog antysemickich graffiti, malowanie gwiazd Dawida na murach arabskich dzielnic, by zasiać chaos i emocje: plejada sabotażowych narzędzi i środków jest bogata.

Wiele z nich mogło doprowadzić do śmierci ludzi. I chodzi nie tylko o podpalenia, jak centrum handlowego Marywilska w maju 2024 r. Niemal dokładnie rok temu siedem razy z rzędu (sic!) ktoś uszkodził instalacje wodociągowe w Finlandii; z kolei ataki hakerskie w Danii i Francji miały sprawić, że milionom ludzi zabraknie wody w kranie.

Wojna, jaką w Europie przeciwko krajom Europy Zachodniej i Środkowej toczy Rosja, często wymyka się uwadze opinii publicznej. Ale służby coraz sprawniej łączą incydenty, które pozornie nie są ze sobą powiązane.

Europol nazwał to „strategią dzięcioła”: 

„Incydenty początkowo traktowane jako odosobnione wydarzenia (...) są częścią szerszej strategii destabilizacji, obejmującej uporczywe, wycelowane i kumulujące się zakłócenia, a nie jeden decydujący atak. Tak jak dzięcioł z czasem osłabia drzewo przez powtarzane uderzenia, tak hybrydowi agresorzy angażują się w ciągłe, pozornie drobne działania, które prowadzą do erozji stabilności, bezpieczeństwa i zaufania w instytucje”.

Wszystko toczy się zgodnie z zaleceniami słynnej doktryny gen. Walerija Gierasimowa, szefa sztabu generalnego armii rosyjskiej, aby „punkt ciężkości stosowanych środków walki przesuwać w kierunku wykorzystania metod niemilitarnych”, i aby „środki militarne były wyłącznie ich uzupełnieniem, prowadząc przeciwnika do faktycznej utraty suwerenności bez zajmowania jego terytorium”.