Czy służby mogły zapobiec wyciekom maili rządowych? Niepokojące sygnały były od dawna

Co łączy wyciekające maile z prywatnej poczty ministra Dworczyka, roznegliżowane zdjęcia prawicowej działaczki na twitterowym koncie Marka Suskiego i zhakowane komputery niemieckich posłów z CDU/CSU i SPD? Najprawdopodobniej wszystkie te działania to element większej kampanii dezinformacyjnej prowadzonej od lat przez rosyjski wywiad cywilny. I to prowadzonej bardzo skutecznie. 

Czy służby mogły zapobiec wyciekom maili rządowych? Niepokojące sygnały były od dawna

Choć „Ghostwriter” – bo tak została nazwana ta kampania – nie jest dla służb tajemnicą, a w Polsce o atakach na polityków wiadomo było od wielu miesięcy, to i tak dopuszczono, by sytuacja wymknęła się spod kontroli.

Kolejne e-maile wyciekające z prywatnej, nieuwierzytelnionej dwuskładnikowo poczty ministra Michała Dworczyka, korespondencja z premierem Mateuszem Morawieckim i wicepremierem Jarosławem Gowinem, dyskusje o wyprowadzeniu wojska przeciwko Strajkowi Kobiet – to może być tak naprawdę dopiero czubek góry lodowej. I choć rząd przez pierwszych kilka dni próbował umniejszać jej skalę, to zwołanie utajnionego posiedzenia Sejmu ds. cyberataków pokazuje, że mamy do czynienia z poważnym problemem. 

– Generalnie to, co obserwujemy w przypadku skrzynki pocztowej ministra Dworczyka, można zaliczyć do operacji typu hack and leak, widocznych choćby przy wyborach prezydenckich w 2016 roku w Stanach Zjednoczonych i rok później w wyborach prezydenckich we Francji. Polegają ona na kradzieży danych, a potem ich stopniowemu publikowaniu w Internecie. Często celem ataku są skrzynki pocztowe polityków jak w przypadku ministra Dworczyka, gdzie hakerom udaje się przejąć prywatną korespondencję i następnie wykorzystać ją do prowadzonej operacji informacyjnej – mówi nam Andrzej Kozłowski analityk w Instytucie Kościuszki. 

Wiele jednak wskazuje na to, że ostatnie wydarzenia to odsłona ataku, którego scenariusz drobnymi krokami realizowano w Polsce już od wielu miesięcy. Jak podaje tvn24.pl, nie jeden, a przynajmniej dwa profile na komunikatorze Telegram publikują dokumenty, które mogą pochodzić z włamania do poczty Dworczyka. Co więcej, drugi profil publikuje je już od lutego, opatrując dokumenty profesjonalnym komentarzem w języku rosyjskim.

Jest wysoce prawdopodobne, że już ataki na media społecznościowe kolejnych polityków Zjednoczonej Prawicy z jesieni i zimy były wstępem mającym na celu „zmiękczenie” opinii publicznej i obniżenie jej zaufania pozwalające na mocniejszy atak, który teraz obserwujemy. 

Od Twittera do poczty 

Przypomnijmy sobie, jak wyglądały te ataki. Pierwszy nastąpił 29 października 2020 r. na twitterowe konto posłanki PiS Joanny Borowiak. Pojawił się na nim wpis określający uczestniczki Strajku Kobiet „narkomankami-prostytutkami” i „zabójcami dzieci”. Borowiak stanowczo zaprzeczyła, by była autorką tych słów i zapowiedziała zgłoszenie sprawy policji. Jednak po tym, jak często politycy nie zważając na siłę swoich słów, równie ostro udzielają się w mediach społecznościowych, tłumaczenia Borowiak przyjęto ze sporym niedowierzaniem.

Podobnie było z tłumaczeniami należącego do PiS-u posła Marcina Duszka. Na profilu polityka ukazały się zdjęcia młodej kobiety, która miała być jego „nową sekretarką” – opatrzone, delikatnie mówiąc, seksistowskimi komentarzami. Opublikowane zostały również prywatne zdjęcia posła z tą samą kobietą. Duszek także zarzekał się, że doszło do włamania na jego konto.

Trzecim wydarzeniem było włamanie na konto minister rodziny i polityki społecznej Marleny Maląg. W połowie grudnia na jej profilu na Facebooku ukazał się wpis nazywający protestujące kobiety „watahą Papuasów i bezmózgich dzikusów zdolnych jedynie do bicia i bezrozumnego uprawiania seksu”. Sama minister od razu oświadczyła, że posty są efektem działania hakerów i też zapowiedziała zgłoszenie sprawy do służb. 

Po miesiącu na twitterowym koncie posłanki Porozumienia Iwony Michałek zostały opublikowane słowa: „Gang PiS na czele z Kaczyńskim przekroczył wszelkie możliwe granice. (...) Nie chcę już być po tej samej stronie z mordercami, katami i złodziejami”. I znowu wydarzenia były identyczne: oburzenie opinii publicznej, odcięcie się od wpisu przez Michałek i tłumaczenia się atakiem hakerskim. 

Ledwie minęła burza wokół tych wpisów, gdy po kilku dniach na celownik trafił jeden z czołowych polityków PiS: Marek Suski. Na jego profilu na Twitterze ukazały się roznegliżowane zdjęcia działaczki Porozumienia Ewy S. (specjalnie nie podajemy jej pełnych danych, bo padła ona ofiarą całej kampani - przyp. red.). Suski także zarzekał się, że padł ofiarą ataku, kobieta potwierdzała, że nigdy nie udostępniła mu swoich zdjęć.

Jeszcze wtedy mogło to wyglądać na zbieżność przypadkowych przejęć kont w mediach społecznościowych w celu raczej naruszenia wizerunku pojedynczych polityków. Ale jednak tych incydentów na przełomie 2020 i 2021 roku było na tyle dużo, że zaczęły one budzić coraz poważniejsze obawy. Jak pisał w styczniu Niebezpiecznik: „Czy te wydarzenia są ze sobą powiązane? Ciężko powiedzieć, ale cel mają wspólny: dezinformacja. Oraz polaryzacja nastrojów Polaków”.

Na to, że mieliśmy do czynienia z konkretną, skoordynowaną kampanią, jednoznacznie wskazała amerykańska firma Mandiant wyspecjalizowana w cyberbezpieczeństwie. Już w lipcu 2020 r. opublikowała ona raport opisujący szczegółowo kampanię „Ghostwriter”, która skupiała się na przejmowaniu kont w mediach społecznościowych na Litwie, Łotwie i w Polsce. Za ich pomocą cyberprzestępcy rozpowszechniali fałszywe narracje dot. NATO w Europie Wschodniej. Straszyli wojskami, opisywali, jakie budzą u nas negatywne komentarze.

W kwietniu tego roku eksperci Mandiant uaktualnili swoją analizę. – Od czasu opublikowania raportu zidentyfikowaliśmy ponad dwadzieścia nowych incydentów, które naszym zdaniem są częścią kampanii „Ghostwriter” – pisali i jako przykłady wymieniali właśnie przejęcia kont polskich polityków.

– Tamta aktywność nie była przypadkowa. Wybierano polityków nawet jeżeli bardziej rozpoznawalnych, to wciąż niekoniecznie z pierwszych szeregów. Taki trzeci i dalszy jeszcze garnitur, którego zhakowanie i skompromitowanie nie będzie wielkim skandalem. Wykorzystywano ich konta do publikowania treści kontrowersyjnych, takich, które mają dużą szansę na to, że będą szeroko upubliczniane i komentowane. Równolegle tak konstruowano przekaz, by nawet kontrowersyjne treści wydawały się być prawdopodobne w kontekście danego polityka. By tłumaczenia o włamaniu były wyśmiewane i traktowane z pobłażaniem – tłumaczy nam ekspert ds. dezinformacji współpracujący z polskimi instytucjami publicznymi. 

– Efekt był obliczony na obniżenie zaufania nie tylko do tych konkretnych polityków czy obozu rządzącego, a bardziej do wszelkich informacji o atakach hakerskich. By opinia publiczna podważała informacje i poddawała się manipulacji, gdyby faktycznie wydarzył się kolejny, już poważniejszy incydent – dodaje ekspert. I tłumaczy, że dziś widać jak bardzo skuteczna była ta strategia: – To przygotowywanie pola pod kolejne poważniejsze ataki. Wycieki niestety udały się całkiem nieźle.

Ale, co bardzo ważne, działo i dzieje się to nie tylko w Polsce. 

Ghostwriter pisze własny scenariusz

W kwietniu niemiecki tygodnik „Der Spiegel” opisał, jak hakerzy zaatakowali co najmniej siedmiu posłów Bundestagu. Według źródeł tygodnika za tym atakiem stały najpewniej rosyjskie służby bezpieczeństwa GRU. – Z informacji opublikowanych przez niemiecki Urząd Ochrony Konstytucji wynika, że w niektórych przypadkach udało się przełamać zabezpieczenia prywatnych skrzynek, ale w przestrzeni informacyjnej nie wykryto wtedy informacji pochodzących z tego wycieku – mówi Kozłowski i dodaje, że Niemcy także skojarzyli to z operacją dezinformacyjną „Ghostwriter”. 

fot. Gorodenkoff/Shutterstock.com

Atak – podobnie jak w Polsce – miał być przeprowadzony za pomocą tzw. phishingu, czyli wiadomości od rzekomo zaufanych nadawców, które w rzecywistości zawierały złośliwwe oprogramowanie pozwalające przejąć dostęp do konta. Większość zaatakowanych polityków należała do partii rządzących CDU/CSU i SPD. Ale atakiem dotkniętych zostało również 31 posłów parlamentów krajowych oraz działacze polityczni w Hamburgu i Bremie. W sumie poszkodowanych miało być kilkadziesiąt osób.

Grupa stojąca za tym atakiem istnieje już od jakiegoś czasu i od dłuższego czasu jej aktywność jest analizowana i obserwowana przez ekspertów. FireEye, amerykańska firma zajmująca się bezpieczeństwem informatycznym, pisała o akcji „Ghostwriter” jako wyspecjalizowanej w atakach o podłożu politycznym powiązanych z tworzeniem treści dezinformacyjnych.

Początkowo jej działania skupiały się na uzyskiwaniu dostępu do serwisów informacyjnych i blogów, by publikować na nich zmanipulowane teksty i zdjęcia. Choćby takie: we wrześniu 2019 roku żołnierze NATO z Niemiec mieli zbezcześcić cmentarz żydowski na Litwie. Według analityków początki „Ghostwritera” sięgają 2017, a może nawet 2016 roku. Pewne jest, że ślady prowadzą do służb rosyjskich i że w ostatnich miesiącach kampania rozszerzyła swoją działalność z samej dezinformacji na kradzież danych uwierzytelniających użytkowników ze szczególnym uwzględnieniem polityków. Jak pisze Mandiant, w akcjach „Ghostwritera” prawdopodobnie pomaga grupa hakerów UNC1151, podejrzewana o związki z rosyjskimi władzami. 

Służby wiedziały, ale nie powiedziały

Dziś z coraz większej liczby źródeł docierają informacje, że polskie służby o zmasowanej kampanii hakersko-dezinformacyjnej wiedziały co najmniej od czasu zimowych ataków na konta społecznościowe polityków. Według tvn24.pl o nasilonych atakach informowały nas służby Izraela już w styczniu. Jak pisało Oko.press pod koniec ubiegłego roku miało też dojść do spotkania Zespołu ds. Incydentów Krytycznych, czyli specjalnej komórki powołanej w Rządowym Centrum Bezpieczeństwa, której zadaniem jest ocenianie, czy ataki nie niosą znamion właśnie „incydentu krytycznego”. Zespół nie stwierdził jednak wtedy takiego zagrożenia.

A jednak przed kilkoma dniami Przemysław Jaroszewski, kierownik CSIRT, czyli zespołu ds. szybkiego reagowania na incydenty komputerowe działającego przy NASK, powiedział PAP, że od listopada było już kilkanaście przejęć kont polityków. Zaś według informacji Onetu z utajnionego posiedzenia Sejmu, zhakowanych miało zostać od 4 do 4,5 tys. kont, a hakerzy przejęli łącznie ok. 70 tys. maili. Nie wiadomo jednak, czy chodzi o konta tylko polityków.

Na tym posiedzeniu posłowie dostali też ulotki, które mają być poradnikiem, jak nie dać się zhakować. Tyle że bardziej rozbudowana wersja takiego poradnika została opublikowana już na początku lutego. „Jak chronić się przed cyberatakami? Praktyczne wskazówki dla parlamentarzystów i nie tylko” to kilkunastostronicowa broszura przygotowana przez dawne ministerstwo cyfryzacji od jesieni działające przy KPRM. Broszura jest pełna bardzo dobrych rad (np. by nie mieć tak prostych haseł do kont jak „123456” czy „piłka nożna”) na czele ze wskazaniem, by używać dwuskładnikowej autoryzacji w poczcie. Nie znalazło się w nich jednak ostrzeżenie, by z prywatnej poczty nie korzystać w celach służbowych, czyli dotyczących kwestii państwowych. Za to w wersji skróconej autorzy polecają korzystanie z VPN, np. NordVPN, tym samym zdradzając, że nie ma sejmowego czy rządowego VPN dla naszych polityków. I jeżeli chcieliby się tak ochronić, to skazani są na prywatną ofertę.

Poradnik poradnikiem, a rzeczywistość sobie. To, jak złamano zabezpieczenia poczty Dworczyka, ale także jak przejęto dostęp do konta na Facebooku jego żony, pokazuje, że minister odpowiedzialny za koordynację walki z pandemią nie stosował się do tych zasad. I zresztą nie tylko on. Posłowie a nawet ministrowie powszechnie korzystają z prywatnych poczt, bo te urzędowe są trudne do obsługi z poziomu smartfona.

– Czy atak na skrzynkę pocztową ministra Dworczyka to element operacji „Ghostwriter”? Nie wiadomo. Warto jednak pamiętać, że publikowane na kanale Telegram informacje nie muszą być prawdziwe. W przeszłości wielokrotnie zdarzało się, że w takich operacjach wykorzystywano zarówno informacje prawdziwe, jak również sfabrykowane, a przekazując bez zastanowienia i słowa komentarza informacje rzekomo wykradzione ze skrzynki Ministra Dworczyka, realizujemy świadomie bądź nie cel autorów tej operacji, którym jest dalsza polaryzacja społeczna i polityczna – podkreśla Kozłowski. 

Obok samych treści maili, które wyciekają jest jeszcze jeden niezwykle ważny - także dla obcych służb - element. Adresaci korespondencji. To z kim konkretnie ustalane są kolejne kroki działania w państwie jest wiedzą bardzo cenną, bo pokazuje rzeczywisty rozkład kompetnecji i wpływów politycznych.

– Rakotwórcza. Tak można powiedzieć o zawartości skrzynki Dworczyka. Tzn. nie jesteśmy w stanie jednoznacznie ocenić ani wiarygodności materiałów, jakie z niej wypływają, ani nawet prawdziwości źródła. I to jest ich główne niebezpieczeństwo, bo każdy e-mail, czy w 100 proc. prawdziwy, czy choćby lekko zmanipulowany przez np. wykasowanie któregoś z odbiorców lub zmianę daty, będzie rozprowadzał dalsze komórki nowotworowe dezinformacji i obniżania zaufania. Ale nie da się już dziś o tym milczeć. O to służby powinny wcześniej zadbać – dodaje doradca ds. dezinformacji.

Zdjęcie główne: Michał Dworczyk, fot. Krystian Maj/KPRM.