Polscy politycy padli ofiarami cyberataku przeprowadzonego z terenu Rosji – poinformował w piątek rząd. Wersję o włamaniu poprzez wyłudzenie haseł potwierdziły nieoficjalne źródła tvn24.pl. Tymczasem “Gazeta Wyborcza” twierdzi, że żadnego cyberataku nie było, a za wyciekiem korespondencji z konta Michała Dworczyka stała osoba z jego najbliższego otoczenia. Służby dementują tę informację.
Michał Dworczyk w nocy z 8 na 9 czerwca napisał na Twitterze, że w związku z doniesieniami dotyczącymi włamania na jego skrzynkę e-mail i skrzynkę jego żony, a także na ich konta w mediach społecznościowych, poinformowane zostały służby państwowe.
Oświadczenie wicepremiera
O ustaleniach tych służb w piątek wczesnym popołudniem poinformował Jarosław Kaczyński, wicepremier odpowiedzialny za bezpieczeństwo.
"Najważniejsi polscy urzędnicy, ministrowie, posłowie różnych opcji politycznych byli przedmiotem ataku cybernetycznego. Analiza pozwala na jednoznaczne stwierdzenie, że został przeprowadzony z terenu Federacji Rosyjskiej" – napisał Kaczyński. Wskazał, że "jego skala i zasięg są szerokie".
Poinformował też, że "obecnie prowadzone są działania wyjaśniające, ale także zabezpieczające dowody". Zaapelował o "rozwagę i niewpisywanie się w scenariusz operacji zaplanowanej przeciwko polskim urzędnikom i politykom różnych opcji, której jednym z głównych celów jest uderzenie w polskie społeczeństwo i destabilizacja naszego kraju".
Godzinę później "Gazeta Wyborcza" podała, że nie było żadnego "cyberataku z Rosji", zaś do wycieku korespondencji z prywatnego konta Dworczyka doszło za sprawą "osoby z jego najbliższego otoczenia, która miała dostęp do haseł i urządzeń ministra". Według gazety takich ustaleń dokonała ABW. "To wewnętrzna sprawa środowiska Dworczyka. Do ustalenia są motywacje osoby, która ujawnia te maile. Najprawdopodobniej doszło do jakiegoś konfliktu, niekoniecznie na tle politycznym" – czytamy w gazecie.
Późnym popołudniem rzecznik ministra-koordynatora służb specjalnych Stanisław Żaryn stanowczo zdementował te informacje. "To brednie - ABW nie poczyniła takich ustaleń" – napisał. Zaprzeczył też Michał Dworczyk. "Kłamstwa zawarte w artykule GW służą wyłącznie osobom siejącym dezinformacje" – podał na Twitterze.
Z kolei w opublikowanym w zeszły poniedziałek oświadczeniu Wirtualnej Polski (w tej domenie ma prywatne konto Dworczyk, co zresztą przyznał sam premier Mateusz Morawiecki) podkreślono, że "wejście na konto ministra Michała Dworczyka i co za tym idzie uzyskanie dostępu do jego maili nastąpiło na skutek podania poprawnego loginu i hasła". "Naszym zdaniem przestępcy albo wyłudzili hasło od żony ministra, albo używała ona takiego samego hasła u innych usługodawców i tam był wyciek" – pisze firma.
Atak phishingowy
Informację o włamaniu na skrzynkę Michała Dworczyka poprzez wyłudzenie haseł dostępu potwierdziły źródła tvn24.pl i "Faktów" TVN. Według tych źródeł atak phishingowy nastąpił najpierw na konto żony ministra.
Jednocześnie szef kancelarii premiera w swojej prywatnej skrzynce mailowej wpisał adres żony jako konto, przez które można odzyskać hasło. I to na mail Agnieszki Dworczyk miał przyjść mail od hakerów z prośbą o podanie hasła, dzięki czemu uzyskali oni dostęp do skrzynki ministra.
To tzw. atak phishingowy, czyli prosty atak hakerski polegający na wyłudzeniu haseł do konta na portalu społecznościowym i do maila, poprzez stworzoną w tym celu stronę internetową i nakłonienie użytkownika, by zrobił to dobrowolnie.
Były urzędnik Ministerstwa Cyfryzacji, który zajmował się cyberbezpieczeństwem, tłumaczy w rozmowie z tvn24, że istotne znaczenie miał fakt, że konto ministra było powiązane z kontem jego żony.
- Żona Dworczyka mogła dostać na swoją skrzynkę typowy mail phishingowy, który może zawierać różne informacje – przykładowo ostrzeżenie, że konto jej męża jest zagrożone atakiem hakerskim. W takim mailu z reguły jest link, w który nie powinno się klikać, ale chwila nieuwagi każdemu się może zdarzyć – mówi ekspert.
Dalej - jak wyjaśnia - są możliwe dwa scenariusze: prośba o potwierdzenie obecnego hasła albo prośba o zmianę jego hasła ze względów bezpieczeństwa.
- W ten sposób hakerzy mogli wejść w posiadanie loginu i aktualnego hasła szefa KPRM bez konieczności włamywania się do jego skrzynki. Do skopiowania jej całej zawartości wystarczy chwila. W ten sposób mogli wejść w posiadanie całej jej zawartości, bo wątpię, by minister kasował stare maile – dodaje nasz rozmówca.
"Nie ufamy służbom"
Ofiarą podobnego ataku padł polityk PiS, który prowadził korespondencję z szefem kancelarii premiera i podobnie jak on miał prywatną skrzynkę mailową na portalu Wirtualna Polska.
- Dostałem mail podpisany przez departament bezpieczeństwa WP z informacją na temat podejrzanej aktywności na moim koncie. W mailu był link, który kliknąłem. Przekierowało mnie na stronę, na której prosili o podanie hasła. Jej adres był jednak dziwny, dlatego nie dałem się nabrać – relacjonuje w rozmowie z tvn24.pl polityk.
Nasz rozmówca przyznaje, że część polityków PiS używa prywatnych skrzynek zamiast tych w domenie gov.pl ze względu na brak zaufania do służb. - Politycy opozycji też nie chcą używać sejmowych skrzynek, bo im nie ufają – dodaje.
Jak już informowaliśmy w ubiegłym tygodniu w tvn24.pl, od samego początku swojej pracy w rządzie Mateusz Morawiecki używa prywatnej skrzynki na gmailu do korespondencji z podwładnymi urzędnikami. Ci z najbliższego kręgu również używają swoich prywatnych skrzynek.
- Myślę, że tu nie chodzi wyłącznie o obawę, że Mariusz Kamiński i Maciej Wąsik ich podsłucha, a informacje wykorzysta w wewnętrznych rozgrywkach. Dopuszczam taką myśl, że panowie w ten sposób świadomie budują swoje archiwa z dokumentami państwowymi – komentuje poseł Marek Biernacki, były minister-koordynator służb specjalnych.
Grupa "Ghostwriters"
W styczniu - jak ujawniliśmy - pierwsze ostrzeżenie o skutecznym ataku na konta mailowe polskich polityków przyszło ze służb specjalnych Izraela i trafiło do Agencji Bezpieczeństwa Wewnętrznego. W swoim piątkowym oświadczeniu Stanisław Żaryn zapewnił, że nie było ostrzeżenia z Izraela.
Faktem jest jednak, że polscy politycy od wielu miesięcy padają ofiarą hakerów i ich konta m.in. na portalach społecznościowych są przejmowane. Pisaliśmy w tvn24.pl szczegółowo o ustaleniach dziennikarzy "Fundacji Reporterów" w tej sprawie. Informowaliśmy wówczas o grupie "Ghostwriters", która miałaby działać na zlecenie rosyjskich służb specjalnych.
Polska przekazała dokumentację dotyczącą ataków m.in. krajom członkowskim Unii Europejskiej oraz swoim sojusznikom z NATO. Jak informuje Informacyjna Agencja Radiowa, "brukselska korespondentka Polskiego Radia widziała dokument, z którego wynika, że infrastruktura i modus operandi są charakterystyczne dla hakerów sponsorowanych przez Rosję". W tym dokumencie wspomniani miały być właśnie operacje grupy "Ghostwriter".
"Nie można winić służb"
Według naszych rozmówców jednym z problemów, jaki pojawił się w związku z włamaniem na konto Michała Dworczyka, jest, kto dziś ma sytuację uporządkować, czyli "posprzątać", jak mówi się w slangu służb specjalnych.
Zdaniem naszego rozmówcy z administracji rządowej skuteczną reakcję służb utrudnił fakt, że minister używał do służbowych celów prywatnego konta. - Do zadań ABW należy ochrona w przypadku ataku hakerskiego, ale nie można winić służb za to, że nie zabezpieczyli prywatnego konta Dworczyka czy jego żony – wyjaśnia nasz informator.
Michał Dworczyk opublikował wcześniej dwa oświadczenia dotyczące ataku. Potwierdził w nich, że padł jego ofiarą. Wskazał, że celem tego ataku jest "podważenie zaufania do niego oraz do wielu innych osób pełniących funkcje publiczne". Podkreślił także, że "wspólnym celem [ataków – red.] jest szerzenie dezinformacji m.in. poprzez zestawianie informacji prawdziwych z fałszywymi, wręcz celowo preparowanymi na potrzeby tego typu działań".
Minister nie wskazał jednak, które dokładnie maile i dokumenty mogły zostać w ten sposób zmanipulowane.
Źródło: tvn24.pl, "Fakty" TVN