Skradziono urządzenia, którymi można sparaliżować pociągi. Służby sprawdzają rosyjski trop

Sobota, 15 czerwca, około godziny 14. Pod siedzibę firmy Pyrylandia na warszawskim Wawrze podjeżdża czerwona taksówka marki toyota. Nie zdążyła jeszcze zaparkować, a już wyskakuje z niej mężczyzna w czarnych spodniach i jeansowej kurtce. Na uszach ma słuchawki, spod kurtki wystaje mu czerwona koszula. Zdecydowanym krokiem wchodzi do pustego tego dnia biurowca.

Dalsza część artykułu pod materiałem wideo

Na monitoringu, którego fragment publikujemy, widać, jak mężczyzna znika w głębi. Po chwili wyłania się, niosąc dwie skrzynki. Dopiero w tym momencie podchodzi do niego dozorca, którego wcześniej nie było na portierni. Po krótkiej rozmowie wypuszcza przyjezdnego. Ten wkłada pakunki do bagażnika taksówki i odjeżdża. Później okaże się, że były to dwa komplety urządzeń systemu radiołączności kolejowej służące do prowadzenia ruchu pociągów.

Urządzeniem można sparaliżować ruch kolejowy

Skradzione urządzenia - wśród wielu różnych funkcji - są wyposażone w możliwość nadawania sygnału Radio-Stop. To specjalna funkcja w systemach radiołączności kolejowej, która umożliwia natychmiastowe zatrzymanie pociągu w sytuacjach awaryjnych. Działa na zasadzie przesyłania sygnału radiowego, który aktywuje hamulce pociągu, zatrzymując go bez względu na aktualne polecenia maszynisty.

O istnieniu tej funkcji zrobiło się głośno w wakacje 2023 roku. Wtedy w województwie zachodniopomorskim ktoś nadawał sygnał Radio-Stop wraz z puszczaniem rosyjskiego hymnu. W kolejnych dniach pojawiały się informacje o zatrzymaniach pociągów w innych miejscach kraju. Sprawą zajęła się Straż Ochrony Kolei, Agencja Bezpieczeństwa Wewnętrznego i policja. Jeden ze sprawców po nieuprawnionym nadaniu systemu Radio-Stop został namierzony na Podlasiu. Okazał się nim policjant z Komendy Wojewódzkiej w Białymstoku. Aresztowano go i wyrzucono ze służby.

Dalsza część artykułu pod materiałem wideo

Każdorazowe nadanie sygnału Radio-Stop powoduje zatrzymanie ruchu kolejowego w promieniu kilkunastu kilometrów. Ale oprócz nagłośnionych przez media przypadków, zdarza się to na kolei dość często.

Jak informował w lutym "Rynek Kolejowy", w 2023 roku nieuprawnione nadanie sygnału miało miejsce 775 razy. Dzieje się tak, bo, jak przyznają eksperci, radiołączność na kolei prowadzona jest analogowo. Urządzenie, którym można podsłuchiwać maszynistów i nadać sygnał Radio-Stop można kupić za kilkadziesiąt złotych, a nagranie sygnału jest ogólnodostępne w sieci.

Urządzenie skradzione z warszawskiej firmy jest jednak wyjątkowe i nie chodzi o to, że kosztowało kilkadziesiąt tysięcy złotych. Produkt Pyrylandii oprócz nadawania sygnału Radio-Stop ma wiele innych funkcji, które w nieodpowiednich rękach mogą się stać zagrożeniem dla bezpieczeństwa ruchu kolejowego w Polsce.

W ręce złodzieja trafił element o fachowej nazwie F-804/2/M. To system dyspozytorski, który umożliwia komunikację między dyżurnymi ruchu a maszynistami, nagrywanie tych rozmów, a także zdalne zarządzanie ruchem na całym odcinku, gdzie zainstalowano system.

- Komunikacja w tym systemie odbywa się za pośrednictwem fal radiowych, ale także poprzez wewnętrzną sieć pociągnięta wzdłuż danej trasy, czy to poprzez światłowód, czy przez innego rodzaju kabel. Po wpięciu się do tej sieci za pośrednictwem urządzenia takiego jak to, które skradziono, dyżurny może zdalnie przełączyć się na dowolny nadajnik radiowy na obsługiwanej trasie. I np. wydawać polecenia maszynistom na tym obszarze lub włączyć nadawanie sygnału Radio-Stop - tłumaczy nam pracownik jednej ze spółek kolejowych, który w swojej pracy ma kontakt z F-804/2/M. - Urządzeniem można podsłuchiwać oraz nagrywać informacje o ruchu pociągów na całej trasie objętej tym systemem.

Ale żeby wpiąć urządzenie do sieci spółki odpowiedzialnej za dany odcinek torów - w przypadku Polski firmy PKP PLK - trzeba przełamać kilka zabezpieczeń. Jednym z nich jest konfiguracja samego urządzenia. I do próby zdobycia tych danych doszło kilka dni po kradzieży w Warszawie.

Niepokojący telefon - ktoś chciał wyłudzić IP

System łączności produkowany przez Pyrylandię jest montowany m.in. na remontowanej linii z Poznania do Wronek. Generalnym wykonawcą jest czeska firma AŻD Praha, dla której pracują polscy podwykonawcy. Właśnie jeden z nich odebrał telefon, który mocno go zaniepokoił.

Zadzwonił do niego ktoś podający się za przedstawiciela PKP PLK i zażądał pod rygorem nieuzyskania odbioru prac, przekazania w trybie pilnym informacji dotyczących adresacji IP urządzeń systemu radiołączności. Te informacje nie były potrzebne PKP PLK do użytkowania systemu. A gdyby trafiły w niepowołane ręce, mogłyby posłużyć m.in. do przejęcia kontroli nad łącznością kolejową, dokładnego poznania sposobu działania systemu lub dokonania ataku na niego.

Mężczyzna, który odebrał telefon, od razu poinformował o nim przedstawiciela Pyrylandii, a ten zgłosił sprawę do PKP PLK, a także Agencji Bezpieczeństwa Wewnętrznego.

- Samo uzyskanie adresu IP nie pozwoli przejąć kontroli nad urządzeniem. Mamy tak zabezpieczony system, że podpięcie obcych urządzeń nic nie da bez autoryzacji. Urządzenie nie będzie bez tego działało w sieci - mówią Wirtualnej Polsce przedstawiciele Pyrylandii.

Badane scenariusze

Początkowo sprawa dotycząca kradzieży trafiła na komisariat w Wawrze. Gdy zainteresowała się nią Wirtualna Polska, śledztwo przeniesiono do wydziału walki z terrorem kryminalnym i zabójstw Komendy Stołecznej Policji. Zaczęła działać również Agencja Bezpieczeństwa Wewnętrznego.

- Śledztwo w tej sprawie prowadzi policja, ale Agencja Bezpieczeństwa Wewnętrznego też wykonuje swoje czynności. Zabezpieczono monitoring, są sprawdzane kolejne wątki. Obecnie nie wykluczamy żadnych scenariuszy - przekazał nam Jacek Dobrzyński, rzecznik Ministerstwa Spraw Wewnętrznych i Administracji.

Nieoficjalnie przedstawiciele służb przyznawali, że w sprawie badany jest wątek udziału w kradzieży służb rosyjskich lub białoruskich.

- Trzeba brać pod uwagę trop wschodni. Mówimy o infrastrukturze krytycznej, która jest w zainteresowaniu wschodnich służb. Wygląda mi to tak, jakby ktoś działał na zlecenie służb specjalnych, ale zrobił to kompletnie na chama. Raczej obstawiałbym Białorusinów. Kolej to jest dla nich w tej chwili priorytetowa sprawa. A monitorowanie ruchów kolei, możliwość zakłóceń w ruchu, w momencie, gdy ciężki sprzęt na wojnę w Ukrainie transportowany jest naszymi torami, to są kluczowe rzeczy - uważa gen. Piotr Pytel, były szef Służby Kontrwywiadu Wojskowego.

- Nie można wykluczyć żadnego scenariusza. Może przypadek? Złodzieje czasami nie wiedzą, co wynoszą, ich łupem może paść dosłownie wszystko. Zazwyczaj przeceniamy przestępców, to są zazwyczaj ludzie o ograniczonym ilorazie inteligencji i zdolnościach poznawczych. Nie doceniamy również biznesu. To przecież może być kradzież będąca elementem nieuczciwej konkurencji. Mogły też stać za tym obce służby, mogące mieć pełne spektrum celów i motywów - Michał Rybak, licencjonowany detektyw, ekspert ds. bezpieczeństwa, były funkcjonariusz Agencji Wywiadu.

Na początku lipca wydawało się, że w sprawie nastąpił przełom. Policjanci z KSP zatrzymali 44-letni mężczyznę, którego wytypowali jako tego, który wyniósł z Pyrylandii wrażliwy sprzęt. Nie miał stałego miejsca zamieszkania i zameldowania, a w przeszłości był notowany za drobne kradzieże. Jego dossier było wręcz idealne z punktu widzenia ewentualnych zleceniodawców ze wschodu.

Z powodu poważnych problemów ze zdrowiem zatrzymanego nie można było przez wiele dni przesłuchać. W końcu w ostatni poniedziałek postawiono mu zarzut kradzieży zuchwałej, a we wtorek został tymczasowo aresztowany na trzy miesiące. Mężczyzna przyznał się do przestępstwa, ale skradzionych przez niego urządzeń nie udało się odzyskać.

Ostrzeżenia przed sabotażem

W maju 2024 roku "Financial Times", powołując się na oceny wywiadów z trzech różnych krajów, napisał, że liczba dowodów wskazujących na agresywne i skoordynowane działania ze strony Kremla stale rośnie. O zagrożeniu coraz częściej mówią też pracownicy wywiadu.

- Oceniamy, że ryzyko kontrolowanych przez państwo aktów sabotażu jest znacznie zwiększone - mówił Thomas Haldenwang, szef niemieckiego wywiadu wewnętrznego. Jego zdaniem, Rosja ma pełną swobodę w przeprowadzaniu potencjalnie bardzo szkodliwych operacji w Europie.

Akcje sabotażu wiązane z rosyjskimi służbami miały miejsce w m.in. w Niemczech i doprowadziły do paraliżu sieci Deutsche Bahn. Do podobnych incydentów - na liniach przewożących rudę żelaza - dochodziło również w Szwecji, co można interpretować jako część szerszej kampanii wymierzonej w strategiczne punkty transportowe. Na potwierdzenie tego, czy kradzież sprzętu z warszawskiej firmy wpisuje się w tę kampanię, musimy poczekać.

Szymon Jadczak, dziennikarz Wirtualnej Polski