Chaos

Choć Dworczyk powtarza, że nie będzie odnosić się do prawdziwości poszczególnych maili ze względu na trwające śledztwo, to raczej polityczna strategia. Ma ona na celu odwracać uwagę od zawartości niewygodnych materiałów, które z prywatnej poczty przesyłali sobie szef KPRM, urzędnicy, premier i grono jego nieformalnych doradców ze spółek Skarbu Państwa.

Nieoficjalnie, ze źródeł zbliżonych do KPRM, wiemy, że większość e-maili i dokumentów zamieszczonych w polskojęzycznym kanale na Telegramie rzeczywiście pochodziła z prywatnej skrzynki Dworczyka. To jednak może się zmienić w każdej chwili - w przypadku wycieku maili ze sztabu Hillary Clinton dokonane w nich fałszerstwa zostały zidentyfikowane dopiero po roku.

"Operacje tzw. skażonych wycieków są w fazie rozwojowej" - przewidywał wówczas John Scott-Railton z grupy Citizen Lab, która analizuje operacje dezinformacyjne. "Skażone wycieki" (ang. tainted leaks) - to nazwa nadana przez badaczy manipulacji - polegają na edycji lub zmianie kontekstu autentycznych dokumentów uzyskanych w wyniku ataku hakerskiego, są zatem trudne do weryfikacji. Nawet drobne zmiany mogą zwiększyć zainteresowanie i potencjał wywołania skandalu.

Wiadomo, że przynajmniej w kilku dokumentach opublikowanych na drugim kanale na Telegramie, skierowanym do rosyjskojęzycznych odbiorców, dokonano manipulacji, których celem było na przykład podniesienie ich formalnej rangi, a także opublikowano fałszywe interpretacje niektórych dokumentów, uwiarygodnione sfabrykowanymi komentarzami ze zhakowanych kont polskich osób publicznych. Na tzw. polskim kanale pojawiło się też wideo nieznanego pochodzenia o charakterze obyczajowym. Wcześniej do jednej z redakcji trafił sfabrykowany film przedstawiający spreparowaną konwersację na Twitterze o treści seksualnej.

Ci, którzy stoją za operacją, mogli łatwo przewidzieć, że przy obecnym poziomie polaryzacji polskiej debaty publicznej afera mailowa szybko zacznie żyć własnym życiem. Dla przykładu: wyrwane z wcześniejszego akapitu zdanie, że "większość e-maili i dokumentów jest prawdziwa", to wiatr w żagle narracji polityków opozycji. Kolejny fragment, o manipulacjach w dokumentach, to już młyn na wodę PiS, które stara się odwrócić uwagę od co najmniej kontrowersyjnych wątków poruszanych w części materiałów.

Na podstawie naszej analizy jesteśmy w stanie stwierdzić, że: - istnieje bezpośredni związek między operacją "Ghostwriter" (ang. autor widmo) realizującą rosyjskie cele i atakami na skrzynki Dworczyka; - istnieją pewne podobieństwa między schematem działań cyberszpiegowskiej grupy UNC1151, zaangażowanej w kampanię "Ghostwriter" (opisanej i nazwanej tak przez analityków z firmy Mandiant), a działaniem grup znanych jako Fancy Bear i Sandworm, współpracujących przy głośnych międzynarodowych atakach hakerskich, za którymi stoi rosyjski wywiad GRU; - nie można wykluczyć, że pozyskane przez grupę UNC1151 dostępy do kont i znajdujących się na nich danych służą w kliku niezależnych operacjach bądź są wykorzystywane przez kilka współpracujących ze sobą grup prowadzących różne typy działań cyberszpiegowskich i dezinformacyjnych: - na początku serii phishingów (wyłudzania loginów i haseł z pomocą maili imitujących popularne usługi), trwającej od początku pandemii, sprawcy próbowali uzyskać dostęp między innymi do środowiska pracy zdalnej resortu obrony narodowej, a później też np. do celów militarnych na Ukrainie; - o szeroko zakrojonej i wielomiesięcznej operacji dezinformacyjnej z użyciem przejętych w wyniku phishingu kont, wymierzonej wówczas głównie w relacje polsko-litewskie, pisaliśmy w tvn24.pl na początku kwietnia - przynajmniej od tego czasu powinni o niej wiedzieć politycy i służby, ale przez wiele tygodni nie reagowali; - ABW i inne komórki odpowiedzialne za państwowe cyberbezpieczeństwo zostały zawiadomione przez współpracownika Dworczyka o tym, że w sieci pojawił się fragment korespondencji mailowej w sprawie Białorusi między urzędnikami KPRM a białoruskim opozycjonistą pod koniec kwietnia, ale do czerwca nikt nie ustalił, że doszło do ataku na skrzynkę szefa KPRM.