Skip to content
Menu

ZHAKOWANE
VIP-Y 

Anna Gielewska, Julia Dauksza, Konrad Szczygieł
Ilustracja: Frycz i Wicha

15 marca 2022

W skrzynce Michała Dworczyka przejętej przez hakerów znajdowało się ponad 60 tys. maili. Jak ustaliło FRONTSTORY.PL poza pocztą szefa Kancelarii Premiera mogły zostać przejęte prywatne skrzynki m.in. szefa gabinetu Kancelarii Prezydenta, ministra koordynatora służb specjalnych, szefa Orlenu, wysokich rangą wojskowych i członków rodzin smoleńskich.

To oznacza, że atakujący mogą wciąż mieć w zanadrzu olbrzymie ilości wrażliwych danych.

Mamy nowe dowody na to, że za aferą stoją białoruskie i rosyjskie służby.

Od czerwca 2021 r. cała Polska czyta zawartość skrzynki mejlowej Michała Dworczyka, prawej ręki premiera. Rząd konsekwentnie bagatelizuje sprawę, mimo że włamanie odsłoniło bezbronność administracji wobec cyberzagrożeń i dezynwolturę w dzieleniu się wrażliwymi informacjami przez polityków. Screeny z maili Dworczyka pokazują kulisy rządu Mateusza Morawieckiego – strategiczne decyzje oparte o kalkulacje wizerunkowe, instrumentalne traktowanie prorządowych mediów, organizowanie hejtu na wybrane grupy zawodowe i społeczne.

FRONTSTORY.PL ustaliło, że oprócz skrzynki Dworczyka cyberprzestępcy mogli włamać się m.in. na prywatne skrzynki urzędników Kancelarii Prezydenta, w tym szefa gabinetu Prezydenta RP Pawła Szrota, koordynatora służb specjalnych Mariusza Kamińskiego, szefa Orlenu Daniela Obajtka oraz przynajmniej kilku wysokich rangą byłych i obecnych wojskowych, w tym związanych z lotnictwem, a także członków rodzin smoleńskich.

Na pytania o włamanie do prywatnych skrzynek prezesa Orlenu i koordynatora służb specjalnych przed publikacją nie odpowiedziało zarówno biuro prasowe paliwowego koncernu, jak i rzecznik koordynatora Stanisław Żaryn. Prośbę o kontakt wysłaliśmy też na prywatne adresy osób o których piszemy – również bez odpowiedzi. Paweł Szrot przez telefon odmówił nam komentarza.

Dzień po publikacji Stanisław Żaryn wysłał oświadczenie: „skrzynka mailowa użytkowana przez Pana Ministra Mariusza Kamińskiego nie została ‘przejęta przez hakerów’. Nie ma żadnych podstaw, by twierdzić, że ktokolwiek zyskał nieautoryzowany dostęp do skrzynki użytkowanej przez Pana Mariusza Kamińskiego.” Dopytywany, czy adres prywatnej poczty Kamińskiego znajdował się na liście zaatakowanych VIP-ów, o której informowała ABW w czerwcu 2021 r. – do czasu aktualizacji tekstu nie odpowiedział.

Klucz do skrzynki Dworczyka

Wielowymiarową operację nazwaną „Ghostwriter”, której tropy wiodą do Białorusi i Rosji, ujawniliśmy prawie rok temu w serwisach tvn24.plvsquare.org, od tego czasu badamy jej kulisy i kolejne odsłony.

W jednym z ostatnich tekstów na ten temat ujawniliśmy mail phishingowy, który otworzył atakującym drzwi do skrzynki Dworczyka. Phishing to metoda oszustwa, w której przestępca podszywa się pod osobę, instytucję (np. operatora poczty), żeby wyłudzić dane.

Już po publikacji poprosiliśmy Marcina Siedlarza, eksperta z Mandiant, międzynarodowej firmy zajmującej się cyberbezpieczeństwem, o dodatkową analizę danych z tego maila. 

Historie warte uwagi.
Zapisz się na nasz Newsletter
żeby żadnej nie przegapić

Wnioski? – Wiadomość email przekazana do analizy została wysłana z adresu IP, z którego zaobserwowaliśmy inne, potwierdzone ataki przeprowadzone przez hakerską grupę UNC1151. Atrybucja ta jest dokonywana z wysoką pewnością – ocenia Siedlarz.


Co to oznacza? Że z dużym prawdopodobieństwem za włamaniem na skrzynkę Dworczyka stoją białoruscy hakerzy, którzy m.in. obsługują technicznie wielowymiarową operację cyberszpiegowską „Ghostwriter”. Atrybucja to w slangu badaczy cyberataków przypisanie danego działania konkretnej grupie hakerskiej, służbie lub państwu.

Mandiant to jedna z największych na świecie firm badających cyberzagrożenia. W listopadzie 2021 r. ukazał się jej raport – analitycy ujawnili wówczas, że członkowie hakerskiej grupy UNC1151, która jest odpowiedzialna za ataki na instytucje i prywatne podmioty w Ukrainie, Litwie, Łotwie, Polsce i Niemczech, a także za obsługę techniczną kampanii „Ghostwriter”, działają z Mińska. 

„Grupa UNC1151, która zapewnia techniczne wsparcie operacji ‘Ghostwriter’, jest powiązana z rządem Białorusi” – stwierdzał raport. Według analityków „Białoruś jest również przynajmniej częściowo odpowiedzialna za kampanię ‘Ghostwriter’”. Eksperci nie wykluczali jednocześnie rosyjskiego udziału bądź inspiracji operacji informacyjnej.

Jesienią 2021 r. analitycy Mandianta byli ostrożni w atrybucji samego ataku na skrzynkę Dworczyka. Teraz mamy już potwierdzenie bezpośredniego związku między aferą mailową a działalnością grupy UNC1151.

Jaka jest zatem relacja między całą operacją „Ghostwriter”, której częścią są ataki dezinformacyjne zgodne z celami rosyjskimi, a działaniem hakerskiej grupy bezpośrednio związanej z białoruskimi służbami?

Możliwości jest kilka – prawdopodobne jest, że to jedna z grup zaangażowanych w techniczną obsługę wielowymiarowej operacji rosyjskiej. Tym bardziej, że 
jak pisaliśmy w lipcu 2021 r., na wielu płaszczyznach hakerzy z UNC1151 wydają się naśladowcami szkoły GRU; pozyskują informacje na użytek różnych niezależnych od siebie działań: kampanii „Ghostwriter”, oficjalnej propagandy białoruskiej, ale także np. rekonesansu, gry wywiadowczej lub szantażu. W świetle ostatnich wydarzeń prawdopodobne jest też, że UNC1151 współpracuje obecnie z rosyjskimi grupami, prowadząc część operacji związaną z uzyskiwaniem dostępu do ofiar.

Skala operacji w kilku państwach jednocześnie, cele geopolityczne, a także dystrybucja w rosyjskojęzycznej sieci, wskazywały, że wykraczała ona poza możliwości samodzielnych działań białoruskich służb. Na scenariusz rosyjski wskazywały także dotychczasowe ustalenia niemieckich służb, które po serii cyberataków na posłów Bundestagu przypisały operację „Ghostwriter” do działań GRU. Pod koniec października 2021 r. Rada UE potępiła Rosję za operację „Ghostwriter”.

Operacja Hack&Leak

Gdy 24 lutego Rosja uderza na Ukrainę, strona Poufna Rozmowa, która od dziewięciu miesięcy publikuje maile szefa KPRM Michała Dworczyka, nie odnosi się do konfliktu. Jak zwykle publikuje kolejne screeny maili odsłaniające kulisy otoczenia premiera i polityków PiS.

Minister Michał Dworczyk przed konferencją na temat uchodźców z Ukrainy, Przemyśl, 26.02.2022. Zdjęcie: Waldek Sosnowski / Forum

Tydzień po ataku Rosji w sieci trwa kampania dezinformacyjna wokół uchodźców: lokalne grupy na Facebooku nakręcają nagonkę na tych, którzy mają inny kolor skóry lub nie pochodzą z Ukrainy. Gdy na stronie Poufnej Rozmowy pojawia się tytuł: „Jeśli wejdą te dzikusy do Polski, dni PiSu są policzone” – budzi łatwe skojarzenia. W rzeczywistości to screen maila z 2016 r. z – najprawdopodobniej przejętej – skrzynki Joachima Brudzińskiego z PiS. Ktoś forwardował mu wtedy zbiorowego maila o tytule „Głosy Polaków do rządu/ochrona granic od strony Ukrainy”. 

Trzy dni później na stronie Poufnej pojawia się flaga Ukrainy z podpisem „Solidarni z Ukrainą”.

Skrzynka Dworczyka to szczególny przykład operacji Hack&Leak (o najgłośniejszych takich operacjach, m.in. Hack&Leaku skrzynki Johna Podesty, byłego szefa kampanii Hillary Clinton, czy Emmanuela Macrona, pisaliśmy w lipcowym tekście). Szczególny, bo screeny maili szefa KPRM, opatrzone zdjęciami i tytułami, dawkowane są opinii publicznej niemal codziennie już od ponad dziewięciu miesięcy. 

Od czerwca 2021 r. treści ze skrzynki Dworczyka dystrybuowane były przez kanał na Telegramie, jednak już w lipcu pierwotny kanał został zablokowany dla polskich numerów. Po kilku dniach eksperymentów z innymi platformami (np. czatem na Yandex.com lub rosyjskim portalu społecznościowym vk.com), 27 lipca została zarejestrowana i od razu uruchomiona strona Poufna Rozmowa (dzień później powstała też strona rosyjskojęzyczna, publikująca dokumenty dotyczące wojskowości).

Nie wiadomo, kto zarejestrował strony – tropy urywają się na Islandii i usłudze anonimizującej twórców strony.

Od sierpnia 2021 r. działa też bez zakłóceń nowy kanał na Telegramie, który zajmuje się głównie promocją strony. Oryginalny czat dyskusyjny założony przez twórców kanału Poufna Rozmowa ma obecnie ponad 1500 członków – w ostatnim czasie dominowali wśród nich antyszczepionkowcy.

Poufna w godzinach pracy

Jak wynika z naszej analizy, strona Poufna Rozmowa publikuje najczęściej od poniedziałku do piątku, w godzinach pracy (6-16), wrzucając średnio dwa screeny dziennie. Między lipcem 2021 r. a końcem lutego 2022 r. opublikowała łącznie 366 wpisów. Miesięcznie stronę odwiedza średnio 240 tys. użytkowników (w ostatnich tygodniach ta liczba spada). Większość wejść na stronę ma miejsce z przeglądarki lub wyszukiwarki, największy ruch generują ludzie wpisujący bezpośrednio jej adres lub wyszukujący hasło „poufna rozmowa”, ewentualnie „maile Dworczyka”.


Z naszych ustaleń wynika, że cyberprzestępcy, którzy zdobyli zawartość skrzynki Dworczyka, mają wciąż do dyspozycji ogromny materiał – w prywatnej poczcie szefa KPRM znajdowało się bowiem ponad 60 tys. mejli, a jego skrzynka w domenie wp.pl działała ponad 20 lat. Dworczyk używał jej m.in. w czasie, gdy był wiceszefem MON (2017 r.) i szefem KPRM.
 

Nie można wykluczyć, że dla atakujących była to jedna ze „skrzynek matek” – a więc swoista baza danych, w tym np. adresów osób, z którymi korespondował Dworczyk. Na jej podstawie atakujący mogli wyszukiwać kolejne ofiary phishingów.

Nie wiadomo wciąż, w jakiej fazie jest cała operacja – wedle naszych ustaleń, screeny ze skrzynki szefa KPRM, które do tej pory zostały opublikowane na Poufnej Rozmowie, są prawdziwe. Jednak np. już treść kilku załączników do maili, które były początkowo publikowane na rosyjskojęzycznym kanale na Telegramie, była modyfikowana – przykłady takich manipulacji opisywaliśmy w poprzednich  tekstach.

To, że dotąd publikowane screeny są prawdziwe, nie oznacza jednocześnie, że kolejne też będą autentyczne – zgodnie ze strategią „skażonych wycieków” (ang. tainted leaks), opisaną przez Johna Railtona z Citizen Lab (Railton bada dziś m.in. aferę Pegasusa). Gdy atakujący ugruntują powszechne przekonanie, że to, co publikują na stronie jest prawdziwe, mogą usiłować wykorzystać tę wiarygodność publikując np. całkowicie sfabrykowane treści. Tym bardziej, że wojna w Ukrainie zmniejszyła zainteresowanie stroną Poufna Rozmowa.

Sto kont ludzi władzy

Jak ujawniliśmy w lipcu 2021 r., wkrótce po wybuchu afery, istniały istotne poszlaki, że tzw. Dworczyk Leaks to element większej całości:

  • adres Dworczyka, a także jego żony (oba w domenie wp.pl) znajdowały się wśród adresów, które padły ofiarą ataków phishingowych w latach 2020–2021. Przypomnijmy, że atakujący włamali się na FB żony Dworczyka, gdzie zamieścili sfabrykowany post, informujący o wycieku maili szefa KPRM i linkujący do kanału na Telegramie. Od tego wpisu zaczęła się „afera mailowa”;
  • na szerszy wymiar operacji wskazywała także analiza dystrybucji treści w mediach społecznościowych – dostęp do treści pochodzących ze skrzynki Dworczyka twórcy rosyjskojęzycznego kanału na Telegramie mogli mieć już na kilka miesięcy przed uruchomieniem polskojęzycznego kanału Poufna Rozmowa. Rosyjskojęzyczny kanał był z kolei głównym paliwem dla białoruskiej machiny propagandowej, która oskarżała Polskę o organizację i finansowanie protestów w Białorusi. Treści te były także dystrybuowane przez rosyjskie kanały.

Poza zawartością skrzynki Dworczyka na stronie Poufna Rozmowa zostały opublikowane także screeny pochodzące z innych skrzynek niż Dworczyka – w tym z prywatnej poczty Joachima Brudzińskiego i Piotra Bączka, byłego szefa Służby Kontrwywiadu Wojskowego (SKW). To oznacza, że autorzy Poufnej Rozmowy albo sami dysponują, albo otrzymują wyselekcjonowaną przez kogoś innego zawartość z kilku skrzynek ofiar hakerskich ataków.

W tej ostatniej sprawie SKW prowadzi odrębne postępowanie – nie odpowiedziała jednak na nasze pytania.

Jak wynika z naszych ustaleń, prywatne adresy mailowe Bączka i Brudzińskiego znajdowały się na liście zaatakowanych adresów, o których informowała ABW dwa tygodnie po pierwszych informacjach o przejęciu skrzynki Dworczyka.

ABW podawała w czerwcu 2021 r, że na liście celów ataku „znajdowało się co najmniej 4350 adresów e-mail (…) co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację. (…) Na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy.”

Nowogrodzka ostrzega przed phishingiem

Poszliśmy tropem tamtego komunikatu: czyje skrzynki oprócz Dworczyka mogły zostać przejęte? Do kogo jeszcze zapukała policja, która miała informować ofiary ataków o zhakowaniu poczty? Zbadaliśmy dystrybucję dezinformacyjnych treści przez wykorzystane dotychczas w atakach konta, a także infrastrukturę cyberataków (np. wzory domen podszywających się pod usługi operatorów poczty czy instytucji). Zrekonstruuowaliśmy także część nazwisk z listy zaatakowanych skrzynek – w tym prywatne adresy Mariusza Kamińskiego, Pawła Szrota i Daniela Obajtka.

Domeny przeanalizowane przez nas w lipcu 2021 r.

Dlaczego hakerzy włamywali się na te, a nie inne konta? W jakim celu? Zawartość ilu skrzynek udało im się przejąć? Policja i prokuratura niechętnie odpowiadają na nasze pytania.

Nieco bardziej rozmowni są ci, których konta w mediach społecznościowych od jesieni 2020 r. były wykorzystane w kampanii jednorazowych ataków dezinformacyjnych.

Była wiceminister rozwoju, posłanka Iwona Michałek o tym, że włamano się na jej konto, dowiedziała się od współpracowników 12 stycznia 2021 r. – Zobaczyłam na swoim profilu post, którego nie byłam autorką – mówi działaczka Porozumienia Jarosława Gowina. Dodaje, że razem z dostępem do jej poczty na WP, włamywacze uzyskali dostęp do konta na Twitterze: – Ta poczta służyła zarówno do działalności prywatnej, jak i służbowej, chociaż rzadko używałam jej do służbowej korespondencji. Politycznych spraw raczej nigdy tam nie poruszałam. Konto nie było połączone z pocztą ministerialną – opowiada Michałek. Gdy otrzymała powiadomienie z WP, że doszło do włamania, zgłosiła sprawę na policję. – Niedługo później przesłuchano mnie i moichwspółpracowników – wspomina.

Trzy tygodnie później maila z phishingiem dostaje europoseł PiS, Bogdan Rzońca. – Byłem akurat w samolocie z Brukseli, przeglądałem maila, otworzyłem przez przypadek jedną z wiadomości, w której były treści pornograficzne – opowiada polityk. Kiedy wylądował w Warszawie, odebrał telefon z Nowogrodzkiej, siedziby PiS. – Ktoś zadzwonił z informacją, że jestem przedmiotem ataku hakerskiego i czy otwierałem skrzynkę dzisiaj rano. Mówię, że tak, ale nie czytałem tego, co mi przysłali – tłumaczy Rzońca i dodaje, że ludzie z Nowogrodzkiej przekazali mu, że identycznego maila dostał wcześniej poseł Marek Suski. – Poinstruowano mnie, żebym zmienił hasło – mówi europoseł. Jego asystent zablokował konto na TT zanim atakujący zdążyli go użyć. Prokuratury ani policji Rzońca nie zawiadamiał.

Prokurator pisze do Panamy

Dzięki phishingowi atakujący przejmowali e-mail – gdy ze skrzynką spięte były konta ofiary w mediach społecznościowych, zamieszczali fałszywe posty na jej Facebooku czy Twitterze. Najczęściej wpisy dotyczyły spraw budzących silne emocje społeczne i zgodnych z celami rosyjskiej i białoruskiej propagandy (np. atakujące NATO czy stosunki polsko-litewskie), czasem linkowały do sfabrykowanych tekstów zamieszczanych na zhakowanych stronach mediów lokalnych lub służyły spreparowaniu takich tekstów. Szczegóły tej akcji opisywaliśmy w naszych poprzednich tekstach, analizowaliśmy też poszczególneataki.

Przykładem podobnego ataku było przejęcie prywatnej skrzynki gen. Bogusława Packa w listopadzie 2021 r. Atakujący włamali się też na konto na FB i Twitterze generała, gdzie zamieścili antyukraińskie wpisy. W tym samym ataku została wykorzystana także zhakowana strona lokalnego medium, gdzie został opublikowany tekst na bazie sfabrykowanych wpisów Packa. Tytuł artykułu brzmiał: „Hańba dla naszej władzy! Współcześni banderowcy będą w Polsce”.

Zrzut ekranowy fałszywego wpisu zamieszczonego na twitterowym koncie gen. Bogusława Packa w listopadzie 2021 r.

Adresu generała prawdopodobnie nie było na liście, o której w czerwcu informowało ABW, bo przed atakiem nie otrzymał ostrzeżenia od policji. Pacek szybko poinformował media, że padł ofiarą hakerów. Co działo się później? – Zadzwonili ludzie z NCBC [Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni – red.] i zaoferowali pomoc w odzyskaniu kont. Zdziwiłem się, ale faktycznie zadziałali. To była moja stara prywatna skrzynka, rzadko używana, nie sądzę, żeby atakujący mogli mieć z niej jakikolwiek użytek poza tą jednorazową akcją z antyukraińskim wpisem – mówi Pacek.

Przypomnijmy, że w podobnych atakach cyberprzestępcy wykorzystali dotąd przynajmniej 25 kont osób publicznych, w tym m.in. konta posłów Marcina Duszka, Marka Suskiego, Arkadiusza Czartoryskiego, Iwony Arent, Joanny Borowiak, minister Marleny Maląg, marszałek Elżbiety Witek, Andrzeja Melaka, a także prawicowych publicystów i działaczy samorządowych. Niektóre z fałszywych wpisów, publikowanych przy okazji tamtych ataków, wciąż można znaleźć w sieci.

Śledztwo w sprawie tych cyberataków prowadzi na zlecenie prokuratury w Toruniu wydział do walki z Cyberprzestępczością Komendy Wojewódzkiej Policji w Bydgoszczy. Co się z nim dzieje? Zadaliśmy prokuraturze pytania o tę sprawę. Dostaliśmy krótką, enigmatyczną odpowiedź, z której wynika, że w sprawie występuje 14 pokrzywdzonych. Prokuratorzy zwrócili się o pomoc do Niemiec, Austrii, Francji, Szwecji, Holandii, Hiszpanii, Panamy i Indii.

Tymczasem w sprawie zhakowanej skrzynki Dworczyka osobne śledztwo prowadzi prokuratura w Warszawie. Co dzieje się w tej sprawie? Czy prokuratura już wie, kto wiele miesięcy temu zhakował prawą rękę premiera? „Przedmiotowe postępowanie toczy się w sprawie, co oznacza, że nikomu nie przedstawiono zarzutów. Obecnie gromadzony jest materiał dowodowy. Mając na względzie dobro prowadzonego postępowania, na jego obecnym etapie Prokuratura Okręgowa w Warszawie nie przekazuje szczegółowych informacji o poczynionych ustaleniach, jak również wykonanych i zaplanowanych czynnościach” – odpowiada na nasze pytania warszawska prokuratura.

Obie prokuratury przedłużyły dochodzenie o kolejne miesiące.

Państwo krąży we mgle

Afera mailowa odsłoniła niemoc struktur bezpieczeństwa państwa, które od miesięcy nie potrafi lub nie chce odpowiedzieć na kluczowe pytania o największą operację cyberszpiegowską w historii polskiej polityki. Operację, która – jak widać z dzisiejszej perspektywy wojny informacyjnej – powinna natychmiast postawić na nogi wszystkie służby.

I choć maile ze skrzynki Dworczyka publikowane są niemal codziennie, polskie cybersłużby już w październiku 2021 r. przygotowały raport i zamknęły badanie tego, co w ich nomenklaturze nazywa się „incydentem krytycznym”.

Przypomnijmy – jedno z pytań w badaniu operacji „Ghostwriter” brzmi: w jaki sposób serie cyberataków i publikowanie sfabrykowanych postów w mediach społecznościowych osób publicznych są powiązane z wyciekiem maili ze prywatnej skrzynki Dworczyka? Czy stoi za tym jedna grupa, czy jest ich kilka? Powiązanych ze sobą czy niezależnych, choć  „obsługujących” tę samą wielowymiarową cyberoperację? Wreszcie: czy w działanie którejś z tych grup zaangażowane są zasoby wschodnich służb w Polsce?


Jak już pisaliśmy we 
wcześniejszych  publikacjach, doraźnym celem takich ataków jest sianie zamętu, chaosu, podgrzewanie społecznych emocji wokół drażliwych tematów. Ataki mogą mieć też inny wymiar – badanie reakcji, skali i zasięgów, testowanie infrastruktury, a także inne cele z szerokiego instrumentarium wywiadowczego, na przykład profilowanie czy szantaż ofiar.

UNC1151 atakuje Ukrainę

27 lutego Facebook opublikował raport, w którym poinformował o wzmożonej aktywności „Ghostwriter” w ukraińskiej sieci i atakach wymierzonych przede wszystkim w wojskowych i osoby publiczne. „’Ghostwriter’ – jak przypominają autorzy raportu – zwykle przejmuje dostęp do poczty elektronicznej, a następnie wykorzystuje ją do uzyskania dostępu do kont w mediach społecznościowych i zamieszczania w nich fałszywych treści”. 

W raporcie czytamy, że: „Zostały wykryte próby namierzania osób na Facebooku w celu umieszczania na YouTube filmów przedstawiających ukraińskie wojska jako słabe i poddające się Rosji, w tym jeden film, na którym widać ukraińskich żołnierzy wychodzących z lasu i powiewających białą flagą kapitulacji”.  

Z kolei ukraiński CERT jeszcze przed wybuchem wojny informował o masowych atakach phishingowych i wzmożonym działaniu hakerów z UNC1151 w ukraińskiej sieci. „Za atakami stoi grupa UNC1151 z Mińska, której członkowie są oficerami białoruskiego MON” – głosił komunikat. I dalej: „Poza celami w Ukrainie i Polsce, grupa atakuje także organizacje białoruskie i rosyjskie”.  
 
25 lutego CERT UA opublikował dodatkową informację na FB z listą domen wykorzystywanych w atakach.  
 

Jak informują m.in. analitycy firmy Proofpoint, po przejęciu skrzynek ukraińskich wojskowych atakujący wysyłali z nich sfabrykowane maile do pracowników „europejskich ciał rządowych zaangażowanych w pomoc uchodźcom z Ukrainy”, mające nakłonić ich do pobrania złośliwego oprogramowania. Tym razem cel był czysto szpiegowski: według Proofpoint było nim „wydobycie informacji logistycznych co do alokacji środków i ludzi w krajach NATO.”

Z kolei firma Secureworks, która przeanalizowała domeny wykorzystywane w ostatnich atakach phishingowych (listę domen ujawnił ukraiński CERT, który przypisał te ataki UNC1151) wyodrębniła dodatkowy klaster domen (konta zarejestrowane przez „Apolena Zorka” oraz „Radka Dominika”). 

Nowe domeny ujawnione przy okazji ataków na Ukrainę zostały zarejestrowane w listopadzie 2021 r. i później. Część z nich podszywa się pod polskich dostawców, a to oznacza, że ataki wciąż trwają i dotyczą m.in. obiektów wojskowych w Polsce.

„Nie mówmy o aferze”

W pierwszych dniach po wybuchu afery mailowej niektórzy politycy PiS uważnie śledzili listę nazwisk, które przewijały się w skrzynce Dworczyka. Z nieoficjalnych rozmów z politykami PiS w tamtym czasie wynikało, że część początkowo żałowała, że nie znalazła się w „grupie mailowej” Mateusza Morawieckiego. Dlaczego? „Grupa mailowa” stała się synonimem najbliższego kręgu szefa rządu. Ale wraz z kolejnymi publikacjami Poufnej Rozmowy optyka polityków obozu rządzącego się zmieniła – dziś obawiają się, jakie i czyje maile mogą jeszcze zostać opublikowane w sieci. Po kilku miesiącach wycieków Dworczyk i jego ludzie szykowali się do odejścia z KPRM – plany te wstrzymał wybuch wojny w Ukrainie.

Przez cały ten czas nikt nie poniósł odpowiedzialności ani za samą aferę, ani za poszczególne skandale ujawniane w screenach z poczty Dworczyka.

Ani służby, ani politycy rządzący nie odpowiadają wciąż na kluczowe pytania dotyczące afery, poprzestając na wygłaszaniu propagandowych komunikatów, które jedynie pogłębiają chaos wokół tzw. Dworczyk Leaks.

Gdy Krzysztof Izdebski z Fundacji Batorego na początku lutego skierował do KPRM wniosek o udostępnienie szczegółowych informacji dotyczących afery, uzyskał jedynie lakoniczną odpowiedź: rząd odesłał go do wcześniej publikowanych komunikatów ABW. Odpowiedź była bliźniaczo podobna do tych, które zespół FRONTSTORY.PL uzyskiwał przez wiele miesiecy pytając o aferę.

Jaki jest motyw autorów-widmo stojących za całą operacją? Afera mailowa ma głębszy wymiar niż doraźna polityka w Polsce. Celem całej operacji jest wielowymiarowy rozkład państwa i destabilizacja regionu.  

Tekst aktualizowany 16.03.2022 r. o oświadczenie Stanisława Żaryna, rzecznika ministra koordynatora.

Rozpoczynamy cykl publikacji o rosyjskich wpływach w Polsce.

Operacje i czołowe postaci prokremlowskiej propagandy opisujemy od lat na portalu vsquare.org i w innych mediach – w tekstach m.in. Pawła Reszki, Anny Gielewskiej, Pavli Holcovej, Szabolcsa Panyi, Konrada Szczygła i Wojciecha Cieśli. W latach 2016–2021 ujawniliśmy kulisy działań Aleksandra Usovskiego, Beli Kovacsa czy Mateusza Piskorskiego – prześwietliliśmy mechanizmy prokremlowskiej machiny propagandowej, operacje dezinformacyjne i ich aktywa w Polsce i Centralnej Europie. Przyglądaliśmy się działaniom organizacji i grup radykalnych, w tym prowokacji z podpaleniem Centrum Kultury w Użhorodzie. W 2019 r. ujawniliśmy aktywa i sposób działania rosyjskiego banku w krajach Wyszehradu.

Przypominamy wybrane teksty o rosyjskich wpływach. 

Po polsku:

Orkiestra Putina: Zwolennik, 8.03.2022

Biuro podróży „Oko Saurona”, 2.08.2021

Wschodni scenariusz kampanii Ghostwriter, 20.07.2021 

Priwiet, zostałeś zhakowany, 5.04.2021

Anna Gilelewska

Anna Gielewska

Wicenaczelna FRONTSTORY.PL, współzałożycielka vsquare.org, stypendystka JSK Fellowship na Uniwersytecie Stanforda (2019/20). Pracowała jako dziennikarka we „Wprost”, „DGP”, „Dzienniku”, „Rzeczpospolitej”.

Julia Dauksza

Dziennikarka FRONTSTORY.PL. Researcherka OSINT z doświadczeniem w międzynarodowych projektach śledczych OCCRP i VSquare. Współpracowała z organizacjami pozarządowymi (m.in. Otwarte Klatki).
Konrad Szczygieł

Konrad Szczygieł

Dziennikarz FRONTSTORY.PL, wcześniej w zespołach śledczych (OKO.press, Superwizjer TVN). Uczestnik międzynarodowych projektów śledczych Fundacji Reporterów.

CZYTAJ WIĘCEJ