Na liście celów ataku jest co najmniej 4350 adresów e-maili należących do polskich obywateli – przekazał we wtorek Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych. Poinformował, że służby dysponują informacjami o związkach agresorów z działaniami rosyjskich służb specjalnych. Mówiąc o ataku na skrzynkę szefa KPRM Michała Dworczyka, powiedział, że jego skrzynka została przejęta przy pomocy phishingu. - Służby zidentyfikowały kilkukrotne nieautoryzowane wejście na skrzynkę pana ministra - opisał.
W pierwszej połowie czerwca minister Michał Dworczyk, szef Kancelarii Prezesa Rady Ministrów, poinformował o włamaniu na swoją skrzynkę mailową. W piątek wicepremier do spraw bezpieczeństwa, prezes Prawa i Sprawiedliwości Jarosław Kaczyński opublikował oświadczenie, w którym napisał między innymi, że "najważniejsi polscy urzędnicy, ministrowie, posłowie różnych opcji politycznych byli przedmiotem ataku cybernetycznego". Dodał, że atak został przeprowadzony "z terenu Federacji Rosyjskiej", a "jego skala i zasięg są szerokie".
Żaryn: na liście celów ponad cztery tysiące adresów mailowych
We wtorek Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych przekazał w oświadczeniu, że "z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego wynika, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej".
"Co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów. Polskie służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych" - czytamy w oświadczeniu.
Żaryn poinformował, że na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy.
"Atak dotknął osób pochodzących z różnych opcji politycznych, a także pracowników mediów i organizacji pozarządowych. Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. Służby odpowiedzialne za cyberbezpieczeństwo przeanalizowały kilka wiadomości wysłanych na adres ministra, które mogły posłużyć do potencjalnego phishingu - ich zawartość oraz konstrukcja miały na celu wyłudzenie danych niezbędnych do logowania. Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka" - poinformował rzecznik w komunikacie.
"Element akcji 'Ghostwriter'"
Według rzecznika "wszystkie dotychczas pozyskane informacje wskazują, że działania grupy UNC1151, które dotknęły w ostatnich tygodniach Polskę, to element akcji 'Ghostwriter', której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej". "W związku z zagrożeniami w cyberprzestrzeni identyfikowanymi przez ABW, Agencja w przeszłości przekazywała i na bieżąco przekazuje zagrożonym użytkownikom ostrzeżenia o możliwych atakach na konta w mediach społecznościowych oraz na skrzynki poczty elektronicznej" - czytamy w komunikacie.
CZYTAJ WIĘCEJ. Priwiet, zostałeś zhakowany! >>>
Jak przekazał Żaryn, "w związku z ostatnimi wydarzeniami Zespół ds. incydentów krytycznych przyjął rekomendacje w zakresie ograniczenia skutków ataku względem osób pełniących funkcje publiczne i zwrócił się w trybie przewidzianym w art. 36 ustawy o krajowym systemie cyberbezpieczeństwa o zwołanie rządowego zespołu zarządzania kryzysowego". "RZZK zatwierdził plan działania, a jego wykonanie zostało powierzone CSIRT NASK [zespół reagowania na incydenty bezpieczeństwa komputerowego – red.] we współpracy m.in. z policją. Pierwsze działania zostały podjęte w piątek i są kontynuowane w tym tygodniu. Ich głównym celem jest zabezpieczenie osób, które mogły paść ofiarą ataku" - dodał.
"W ubiegłym tygodniu Agencja Bezpieczeństwa Wewnętrznego przesłała służbom specjalnym państw członkowskich NATO informację dotyczącą ostatnich ataków cybernetycznych realizowanych przeciwko Polsce" - przypomniał rzecznik na zakończenie komunikatu.
Żaryn: działania wpisują się w operację dezinformacyjną rosyjskich służb
Stanisław Żaryn odniósł się do sprawy w rozmowie z TVN24. - Ustalenia Agencji Bezpieczeństwa Wewnętrznego i służb kontrwywiadu wojskowego wskazują na listę 4350 adresów mailowych. To te konta poczty elektronicznej miały zostać zalane informacjami, które miały charakter ataku socjotechnicznego - powiedział. Żaryn przekazał, że według ustaleń służb za tymi atakami stoi "konkretna grupa hakerska, którą możemy wiązać z działalnością rosyjskich służb specjalnych".
Pytany, jaka to konkretnie grupa hakerska, Żaryn wyjaśnił, że specjalizuje się ona w atakach typu phishing. - To próba podszycia się pod różnego rodzaju podmioty, które potencjalnie mają prawo i wiarygodny powód, aby zwracać się do klientów, tym razem do klientów usług poczty elektronicznej po to, żeby prosić ich o uwierzytelnienie konta, prosić o zmianę hasła, czy o innego rodzaju potwierdzenie swojej tożsamości. Taka akcja związana z wysyłaniem tego typu maili jest przyczyną przejęcia różnego rodzaju kont i haseł - wyjaśnił.
Podał przy tym, że ofiarami ataku padło nie tylko ponad cztery tysiące adresów, ale i 500 użytkowników. - To te 500 kont jest najbardziej zagrożonych tym atakiem cybernetycznym - poinformował.
- Wśród tych osób, które stały się ofiarami tego ataku socjotechnicznego wskazanych zostało ponad 100 kont, których użytkownicy to osoby pełniące funkcje publiczne, członkowie obecnego, ale również poprzedniego rządu, parlamentarzyści, osoby związane z samorządem, osoby związane z organizacjami pozarządowymi - wymienił. - Środowisko osób zaatakowanych czy kont zaatakowanych jest bardzo różnorodne, jest to dużo szersza skala, niż to, co ostatnio jest prezentowane w mediach - przekonywał.
Żaryn zapewniał, że to "działania prowadzone na masową skalę i wpisują się w operację dezinformacyjną, którą strona rosyjska prowadzi przeciwko Polsce, ale również przeciwko państwom wschodniej flanki NATO" - zapewnił.
Rzecznik ministra koordynatora służb specjalnych potwierdził, że atak ten jest wymierzony w "prywatne skrzynki mailowe" u prywatnych usługodawców. Mówiąc o ataku na skrzynkę szefa KPRM Michała Dworczyka, Żaryn powiedział, że jego skrzynka została przejęta w podobny sposób, przy pomocy phishingu. - Minister otrzymał informacje o charakterze phishingowym, które pozwoliły na przejęcie konta - powiedział. - Służby zidentyfikowały kilkukrotne nieautoryzowane wejście na skrzynkę pana ministra - opisał.
Morawiecki: ofiarami ataku padli członkowie byłego i obecnego rządu
W podobnym tonie wypowiedział się premier Mateusz Morawiecki, który na Facebooku udostępnił oświadczenie służb specjalnych w tej sprawie. "Ofiarami ataku hakerskiego padli członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy" - wyliczył.
Szef rządu przekazał, że w związku z ostatnimi ataki "zespół ds. incydentów krytycznych przyjął rekomendacje w zakresie ograniczenia skutków ataku względem osób pełniących funkcje publiczne". "Pierwsze działania zostały podjęte w piątek i są kontynuowane w tym tygodniu. Ich głównym celem jest zabezpieczenie osób, które mogły paść ofiarą ataku" - podał.
"Służby unikają zasadniczego tematu"
Do komunikatu rzecznika koordynatora służb specjalnych odniósł się w rozmowie z TVN24 dziennikarz "Gazety Wyborczej" Wojciech Czuchnowski. - Jak czytałem to oświadczenie, to zmroziło mi to krew w żyłach, bo mamy kryptonim grupy hakerskiej, mamy nazwę operacji, no i mamy powołanie się na to, że to wszystko ustaliły służby. Muszę z przykrością powiedzieć, że tego nie ustaliły służby. To jest komunikat - w tej części najbardziej sensacyjnej - oparty w całości na artykułach dostępnych w internecie. To są artykuły na dwóch amerykańskich portalach zajmujących się cyberbezpieczeństwem – mówił.
- Mówienie o tym, że przepisanie całych akapitów z artykułów i przetłumaczenie ich, to są ustalenia służb, to jest kompromitacja - mam nadzieję, że tylko rzecznika, a nie tych służb. Mam nadzieję, że te służby działają szerzej niż dowolna osoba, która wystarczy, że wklepie sobie w internet ten skrót i od razu wyskoczą te artykuły - zwrócił uwagę.
Według niego, "jedyną nowością, którą mówi rzecznik koordynatora, to jest liczba tych zaatakowanych kont". - To z kolei opiera się na systemie, który wyłapuje próby ataku - wskazał.
Czuchnowski zwrócił uwagę, że w komunikacie służb nie napisano dokładnie, czy hakerzy dokonali ataku na prywatne, czy służbowe konto Michała Dworczyka. - Służby całkowicie unikają zasadniczego tematu. Na jakiej podstawie i na jakiej zasadzie pan Dworczyk, pan premier [Mateusz - red.] Morawiecki, całe ich otoczenie, prowadzili korespondencje służbowe na prywatnych skrzynkach mailowych - dodał.
Źródło: tvn24.pl, PAP
Źródło zdjęcia głównego: eurosport