Hakerzy dokonali pierwszego włamania na skrzynkę mailową szefa kancelarii premiera Michała Dworczyka już pod koniec września ubiegłego roku – napisała w poniedziałek "Rzeczpospolita". Według gazety cyberprzestępcy mogli mieć nieograniczony dostęp do poczty ministra przez dziewięć miesięcy.
Szef kancelarii premiera Michał Dworczyk w pierwszej połowie czerwca poinformował o włamaniu na swoją prywatną skrzynkę mailową. Od tamtego czasu na komunikatorze Telegram pojawiają się zrzuty ekranu, na których widać domniemaną korespondencję ze skrzynki Dworczyka prowadzoną między innymi z premierem i innymi urzędnikami państwowymi. Pomimo prywatnych adresów mailowych, poruszane są tam tematy związane z funkcjonowaniem państwa.
"Rzeczpospolita": do pierwszego ataku doszło 22 września
Według dziennika cyberprzestępcom udało się pozyskać login i hasło do skrzynki Dworczyka poprzez oszustwo phishingu - infekując pocztę ministra fałszywym oprogramowaniem, które "otworzyło" dostęp do komputera. Jak napisano, "cyberprzestępcy mogli mieć nieograniczony dostęp do poczty szefa Kancelarii Premiera ministra Michała Dworczyka aż przez dziewięć miesięcy".
Pierwsza udana próba, jak ustaliła "Rzeczpospolita", miała miejsce 22 września ubiegłego roku, potem takich wejść było co najmniej kilka. "Jak ustaliliśmy, wejście na konto FB żony ministra, od którego zaczęła się 'afera mailowa', było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła - hakerzy uzyskali bowiem poprawne dane, jakich używał minister. To dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania - takiego incydentu nie odnotowano. Sprawa wyszła na jaw, dopiero kiedy ukradzione materiały zaczęły być publikowane. Ukradzione Dworczykowi maile z prywatnej poczty są publikowane od 8 czerwca na rosyjskim komunikatorze Telegram" - czytamy w "Rzeczpospolitej".
Według gazety ABW i SKW ustaliły, że wejść hakerów do poczty Dworczyka było kilka. Poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra. "Według służb sprawa Dworczyka, podobnie jak wcześniejsze ataki na konta posłów PiS, m.in. Arkadiusza Czartoryskiego czy Joanny Borowiak, miały miejsce w tym samym czasie i dokonała tego ta sama grupa cyberszpiegów – UNC1151 w ramach operacji 'Ghostwriter', której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej" – zauważono.
Gazeta przyznaje, że "zdaniem ekspertów od cyberprzestępczości 'Ghostwriter' działa w 'interesie Rosji', ale dotychczas nikt nie pokusił się o konkretne nazwiska osób, które za tym stoją". Zdaniem rozmówców "Rzeczpospolitej", którzy znają kulisy sprawy Dworczyka, "służby mają już konkretne ustalenia – i dlatego nie obawiają się sformułowań, że grupa o nazwie UNC1151 jest 'powiązana ze służbami specjalnymi Rosji'".
Zatrzymanie Pratasiewicza, a wyciek maili Dworczyka
"Rzeczpospolita" zadała pytanie, dlaczego maile ministra Dworczyka wypłynęły w czerwcu, skoro hakerzy mieli do nich dostęp od końca września. "Otoczenie premiera twierdzi, że sprawa ma związek z Ramanem Pratasiewiczem, białoruskim opozycyjnym dziennikarzem, współzałożycielem kanału Nexta, który pod koniec maja został zatrzymany na lotnisku w Mińsku po przymusowym lądowaniu, które wymusiły białoruskie służby. Atak na Dworczyka nastąpił kilka dni później" - napisał dziennik. "Analizując ataki 'Ghostwritera', wiemy, że gromadzą bazy ukradzionych danych i czekają na dobry moment, by to wykorzystać, tak by pasowało to do ich narracji"– twierdzi informator gazety.
Jak zaznaczono, poczta Dworczyka zawierała setki maili. Dotychczas ujawniono kilka. "Część z nich jest publikowana w sprokurowanych formach, np. doklejane są osoby, które miały być w grupie korespondencyjnej, lub dopisywane są akapity. Kancelaria Premiera i sam Dworczyk nie komentują tych informacji. Czy PiS boi się, co było na prywatnej poczcie szefa KPRM, a co może jeszcze wypłynąć?" - zapytał dziennik. "Było tam wiele informacji o Rosji. Omawiano np. szczegóły wystąpień, stanowisk rządu" – podała "Rzeczpospolita", powołując się na swoje źródła.
Dziennikarze zwrócili uwagę, że cyberprzestępcy nie złamali dostępu do domeny gov.pl żadnego z ministrów, co jest dowodem na to, że są dobrze chronione. "Oficjalnie KPRM tłumaczy fakt przesyłania służbowej korespondencji na prywatną okresem pandemii, która spowodowała, że wielu urzędników administracji publicznej pracowało z domu. To tylko pół prawdy – służbowe smartfony, laptopy i tablety mają bowiem możliwość pracy z serwerami gov.pl." - podkreślają dziennikarze.
Źródło: PAP, "Rzeczpospolita"