Polskie służby: To ludzie związani z rosyjskimi służbami zaatakowali ministra Dworczyka. I ponad 4 tys. innych Polaków
Atak hakerski na skrzynkę mailową ministra Michała Dworczyka ma być sprawką osób związanych ze służbami Putina - ogłaszają polskie służby. Sam komunikat wskazuje jednak, że atak był wyjątkowo… prostacki. Mimo to udało się przejąć mnóstwo skrzynek.
Przypomnijmy: od dwóch tygodni głośno jest o ataku hakerskim na skrzynkę mailową między innymi ministra Michała Dworczyka. W sprawie tej występują w zasadzie same wpadki. Po pierwsze nie tylko Dworczyk, ale także m.in. premier Mateusz Morawiecki, załatwiali sprawy służbowe za pomocą prywatnych skrzynek mailowych. Już to - jak pisze „Gazeta Wyborcza” - może być podstawą do zwolnienia dyscyplinarnego.
Po drugie, o ile Morawiecki korzystał z Gmaila, który jest przejrzysty i ma zabezpieczenia najwyższej klasy, o tyle Dworczyk wybrał trochę gorzej. Minister ma bowiem skrzynkę na Wirtualnej Polsce. Co prawda od kilku miesięcy WP ma opcję włączenia dwuskładnikowego uwierzytelniania, ale Dworczyk z niej nie korzystał.
Przez ostatnie dwa tygodnie w sieci pojawiały się kolejne fragmenty z wyciekniętych skrzynek, w tym maile polityków, w których ci - z prywatnych skrzynek - wymieniali się służbowymi obserwacjami, przesyłali różne informacje czy delegowali zadania. Ujawniono także dokumenty ministra Dworczyka. Nie wiadomo jednak do końca było, kto w końcu się włamał, komu i które fragmenty wycieku są prawdziwe. W końcu głos zabierają polskie służby, publikując komunikat. Nie ma w nim wielu konkretów, ale te, które są, nakazują sądzić, że… cała sprawa była zwykłym atakiem, jakich tysiące każdego dnia. Z tą różnicą, że tu na muszce trafili się ważni politycy.
Jak podają we wspólnym komunikacie Agencja Bezpieczeństwa Wewnętrznego i Służba Kontrwywiadu Wojskowego, był to zwykły atak phishingowy polegający na podstawowych zasadach socjotechniki. Przestępcy wysłali fałszywe maile do co najmniej 4350 Polaków lub osób mających konta w polskich serwisach. Wśród nich znalazło się ponad 100 kont należących do osób, które pełnią funkcje publiczne - to członkowie byłego i obecnego rządu, posłowie, senatorowie i samorządowcy. Ponadto wśród zaatakowanych osób są przedstawiciele mediów i organizacji pozarządowych. Tylko do skrzynki ministra Dworczyka ktoś obcy logował się kilkukrotnie.
A teraz zagadka - ile osób popełniło ten sam błąd, co minister Dworczyk, i kliknęło w maila-pułapkę?
Przypominam: dostało go minimum 4350 właścicieli skrzynek mailowych. Odpowiedź brzmi: przynajmniej co dziewiąta osoba. Jak podają polskie służby, „co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów”. Niezły wynik, choć mogło być „lepiej” - być może phishing nie był idealnie przygotowany. Polskie służby zaznaczają zwrot „co najmniej”, a więc ofiar może być więcej.
Za atakiem ma stać grupa UNC1151 i, jak czytamy w komunikacie, „polskie służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych”. Włamanie na konto Dworczyka ma być elementem większej akcji o nazwie „Ghostwriter”. Jej celem ma być destabilizacja sytuacji politycznej w krajach Europy Środkowej.
„W związku z ostatnimi wydarzeniami Zespół ds. incydentów krytycznych przyjął rekomendacje w zakresie ograniczenia skutków ataku względem osób pełniących funkcje publiczne i zwrócił się w trybie przewidzianym w art. 36 ustawy o krajowym systemie cyberbezpieczeństwa o zwołanie rządowego zespołu zarządzania kryzysowego. RZZK zatwierdził plan działania, a jego wykonanie zostało powierzone CSIRT NASK we współpracy m.in. z Policją. Pierwsze działania zostały podjęte w piątek i są kontynuowane w tym tygodniu. Ich głównym celem jest zabezpieczenie osób, które mogły paść ofiarą ataku” - czytamy.
Cały komunikat wygląda zastanawiająco. Jeśli miało dojść do ataku rządowego, to zaskakujące jest wysyłanie 4,5 tysiąca maili do przypadkowych ludzi. Ataki ukierunkowane są dużo bardziej skomplikowane i skupione na jednej konkretnej osobie, która ma być ofiarą. W przypadku wysłania kilku tysięcy maili mamy do czynienia z masówką, która tym bardziej może łatwo być wykryta przez systemy pocztowe i zablokowana. W bazie z mailami, którą dysponowali przestępcy, były adres polityków, samorządowców, dziennikarzy. To mogłoby wskazywać, że w ich ręce wpadła baza kontaktów adresowych osoby, która w podobnych kręgach się obraca. Postanowili skorzystać z prezentu, a że przypadkiem okazało się, iż są tam także maile do najważniejszych polskich polityków, to pewnie sięgnęli po szampany.
Inna sprawa, że jeśli faktycznie atak ma związek z grupą UNC1151, to wiadomo o jej działaniach od dobrych kilku miesięcy. Dziwnym byłoby, żeby polskie służby nie były świadome zagrożenia wcześniej.
Ale może być też zupełnie inaczej. Być może ten najprostszy z możliwych ataków socjotechnicznych miał sugerować właśnie, że stoją za nim amatorzy, a nie rosyjskie służby. Może miała to być zmyłka. Jakkolwiek nie było, pamiętajcie, że zawsze, ale to zawsze gdy to możliwe, korzystajcie z dwuskładnikowego uwierzytelniania.