Premium

Za kulisami afery mailowej: scenariusz Autora Widmo

Zdjęcie: "Fakty" TVN

Kto stoi za największą operacją cyberszpiegowską w Polsce? Afera mailowa rządu PiS jest wykorzystywana głównie przez białoruski reżim, ale kampania "Ghostwriter" realizuje cele rosyjskie. Pewne ślady działań grupy, która uzyskała dostęp do poczty Michała Dworczyka oraz innych kont, przypominają elementy ataków grup związanych z rosyjskim GRU, takich jak Fancy Bear - wynika z analizy dziennikarzy Fundacji Reporterów, przygotowanej dla tvn24.pl.

Nieznani cyberprzestępcy już drugi miesiąc publikują kolejne dokumenty i maile ze skrzynki szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Nie wiadomo, na jakim etapie jest w tej chwili ta szeroko zakrojona i trwająca od miesięcy operacja. Choć kanał na Telegramie, publikujący materiały od początku czerwca, nie jest już (przynajmniej chwilowo) dostępny dla użytkowników z Polski - treści wciąż krążą po rosyjskojęzycznym Telegramie, na którym zaczęły się pojawiać w lutym. Tuż przed interwencją administratora aplikacji treści z polskiego kanału miały prawie 90 tysięcy wyświetleń dziennie.

Chaos

Materiały, które z prywatnych skrzynek przesyłali sobie premier Mateusz Morawiecki i szef jego kancelarii Michał Dworczyk, wykorzystuje niemal codziennie propaganda reżimu Łukaszenki. Informację o tym, że "polski reżim cenzuruje media społecznościowe z niewygodnych informacji o jego rażącej ingerencji w sprawy Białorusi", podał dalej m.in. kanał o nazwie "OMON Moskwa" (post został usunięty chwilę potem).

Po tygodniach milczenia, w których narastał chaos informacyjny, Dworczyk 12 lipca przedstawił swoją wersję afery mailowej. Dziś już oficjalnie wiadomo, że prywatna skrzynka szefa KPRM była obiektem przynajmniej pięciu prób phishingowych i dwóch skutecznych przejęć: we wrześniu 2020 i w maju 2021 roku.

Choć Dworczyk powtarza, że nie będzie odnosić się do prawdziwości poszczególnych maili ze względu na trwające śledztwo, to raczej polityczna strategia. Ma ona na celu odwracać uwagę od zawartości niewygodnych materiałów, które z prywatnej poczty przesyłali sobie szef KPRM, urzędnicy, premier i grono jego nieformalnych doradców ze spółek Skarbu Państwa.

Nieoficjalnie, ze źródeł zbliżonych do KPRM, wiemy, że większość e-maili i dokumentów zamieszczonych w polskojęzycznym kanale na Telegramie rzeczywiście pochodziła z prywatnej skrzynki Dworczyka. To jednak może się zmienić w każdej chwili - w przypadku wycieku maili ze sztabu Hillary Clinton dokonane w nich fałszerstwa zostały zidentyfikowane dopiero po roku.

Michał Dworczyk wreszcie odpowiedział na pytania"Fakty" TVN

"Operacje tzw. skażonych wycieków są w fazie rozwojowej" - przewidywał wówczas John Scott-Railton z grupy Citizen Lab, która analizuje operacje dezinformacyjne. "Skażone wycieki" (ang. tainted leaks) - to nazwa nadana przez badaczy manipulacji - polegają na edycji lub zmianie kontekstu autentycznych dokumentów uzyskanych w wyniku ataku hakerskiego, są zatem trudne do weryfikacji. Nawet drobne zmiany mogą zwiększyć zainteresowanie i potencjał wywołania skandalu.

Wiadomo, że przynajmniej w kilku dokumentach opublikowanych na drugim kanale na Telegramie, skierowanym do rosyjskojęzycznych odbiorców, dokonano manipulacji, których celem było na przykład podniesienie ich formalnej rangi, a także opublikowano fałszywe interpretacje niektórych dokumentów, uwiarygodnione sfabrykowanymi komentarzami ze zhakowanych kont polskich osób publicznych. Na tzw. polskim kanale pojawiło się też wideo nieznanego pochodzenia o charakterze obyczajowym. Wcześniej do jednej z redakcji trafił sfabrykowany film przedstawiający spreparowaną konwersację na Twitterze o treści seksualnej.

Ci, którzy stoją za operacją, mogli łatwo przewidzieć, że przy obecnym poziomie polaryzacji polskiej debaty publicznej afera mailowa szybko zacznie żyć własnym życiem. Dla przykładu: wyrwane z wcześniejszego akapitu zdanie, że "większość e-maili i dokumentów jest prawdziwa", to wiatr w żagle narracji polityków opozycji. Kolejny fragment, o manipulacjach w dokumentach, to już woda na młyn PiS, które stara się odwrócić uwagę od co najmniej kontrowersyjnych wątków poruszanych w części materiałów.

Chaos, podgrzewanie emocji, przekierowywanie uwagi to także typowe cele zorganizowanych operacji dezinformacyjnych - atakujący mogą mieć satysfakcję. W rzeczywistości w całej sprawie wciąż wiele jest znaków zapytania i niuansów.

W ostatnich tygodniach przeanalizowaliśmy ponad 200 domen, które mogą wiązać się z infrastrukturą użytą w wielomiesięcznej kampanii cyberataków, zbadaliśmy treści rozprowadzane w mediach społecznościowych, rozmawialiśmy ze źródłami w rządzie, służbach, wojsku i firmach zajmujących się cyberbezpieczeństwem.

Na podstawie naszej analizy jesteśmy w stanie stwierdzić, że: - istnieje bezpośredni związek między operacją "Ghostwriter" (ang. autor widmo) realizującą rosyjskie cele i atakami na skrzynki Dworczyka; - istnieją pewne podobieństwa między schematem działań cyberszpiegowskiej grupy UNC1151, zaangażowanej w kampanię "Ghostwriter" (opisanej i nazwanej tak przez analityków z firmy Mandiant), a działaniem grup znanych jako Fancy Bear i Sandworm, współpracujących przy głośnych międzynarodowych atakach hakerskich, za którymi stoi rosyjski wywiad GRU; - nie można wykluczyć, że pozyskane przez grupę UNC1151 dostępy do kont i znajdujących się na nich danych służą w kliku niezależnych operacjach bądź są wykorzystywane przez kilka współpracujących ze sobą grup prowadzących różne typy działań cyberszpiegowskich i dezinformacyjnych: - na początku serii phishingów (wyłudzania loginów i haseł z pomocą maili imitujących popularne usługi), trwającej od początku pandemii, sprawcy próbowali uzyskać dostęp między innymi do środowiska pracy zdalnej resortu obrony narodowej, a później też np. do celów militarnych na Ukrainie; - o szeroko zakrojonej i wielomiesięcznej operacji dezinformacyjnej z użyciem przejętych w wyniku phishingu kont, wymierzonej wówczas głównie w relacje polsko-litewskie, pisaliśmy w tvn24.pl na początku kwietnia - przynajmniej od tego czasu powinni o niej wiedzieć politycy i służby, ale przez wiele tygodni nie reagowali; - ABW i inne komórki odpowiedzialne za państwowe cyberbezpieczeństwo zostały zawiadomione przez współpracownika Dworczyka o tym, że w sieci pojawił się fragment korespondencji mailowej w sprawie Białorusi między urzędnikami KPRM a białoruskim opozycjonistą pod koniec kwietnia, ale do czerwca nikt nie ustalił, że doszło do ataku na skrzynkę szefa KPRM.

Jak działa grupa widmo

Andrzej Kwinto-Yang to działacz PiS i członek Rady Programowej TVP Szczecin. 29 kwietnia na jego facebookowym koncie ukazuje się wpis o treści: "PiSowski Mordor na czele z Kaczyńskim przekroczył wszelkie możliwe granice (...) PiS nie ma pieniędzy na programy społeczne, ale wydaje gigantyczne pieniędzy na utworzenie tzw 'Fundacji dyplomacji międzynarodowej' która będzie organizowała i wspierała działalność lidera białoruskiej opozycji Swietłany Ciechanouskiej i Rady Koordynacyjnej, których już nie popiera nawet naród Białorusi" (pisownia oryginalna). Ilustruje go zdjęcie wydrukowanego szkicu budżetu takiej organizacji, rzekomo pochodzącego od Karola Kotowicza, współpracownika Dworczyka w KPRM.

Czytaj bez ograniczeń

premium

Uzyskaj dostęp do tego artykułu i innych treści specjalnych. Za darmo