W kwietniowym tekście pisaliśmy, że autorzy operacji „Ghostwriter” rozwijają modus operandi – atakujący zaczęli rozpowszechniać fałszywe przekazy za pośrednictwem nie tylko o fałszywych kont, ale i tych należących do osób publicznych, pozyskanych w wyniku ataków phishingowych.

Zwracaliśmy uwagę, że:

• atakujący mogli już zdobyć olbrzymią ilość wrażliwych informacji od kluczowych osób w państwie;
• lista adresów mailowych, które były obiektem ataków phishingowych, liczona jest w tysiącach (to nie znaczy, że ataki były skuteczne – na dzisiaj wiadomo, że w przypadku ponad 700 adresów doszło do przekazania danych);
• adresy, które były celem phishingów, nie są przypadkowe. Na celowniku znajdują się np. członkowie rodzin polityków, analitycy, żołnierze (może to stwarzać zagrożenie związane z próbami werbunku i szantażu);
• przejęte konta w social mediach – jak można domniemywać, po pozyskaniu z nich wartościowych informacji – wykorzystywane są w akcjach dezinformacyjnych z użyciem sfabrykowanych lub zhakowanych stron instytucji publicznych i lokalnych mediów;
• dotychczasowe ataki wymierzone były przede wszystkim w stosunki polsko-litewskie oraz w sojusz z NATO.

Co jeszcze wiadomo o poprzednich atakach:

• na profilach społecznościowych Tomasza Sakiewicza, polityków: Joanny Borowiak, Marcina Duszka, Andrzeja Melaka, Arkadiusza Czartoryskiego zostały opublikowane antynatowskie fake newsy;
• kompromitujące i podburzające treści opublikowano na profilach: Marleny Maląg, Iwony Michałek, Magdaleny Sroki, Marka Surmacza, Roberta Pietryszyna, a także – co przyciągnęło uwagę – na kontach Marka Suskiego i radnej Ewy Szarzyńskiej;
• ostatnie incydenty, które opisywaliśmy pod koniec kwietnia, były złożonymi operacjami: konta senatorów i strona poselska Elżbiety Witek zostały wykorzystane do próby wywołania afery obyczajowej uderzającej w litewskich polityków, opartej o spreparowane zrzuty ekranu z portalu randkowego, zaś zhakowane konto eksperta ds. Rosji Marka Budzisza promowało na Twitterze zhakowane strony Państwowej Agencji Atomistyki i Ministerstwa Zdrowia, kolportujące fałszywą informację o incydencie nuklearnym;
• choć do końca marca w atakach dominowała narracja wymierzona w relacje polsko-litewskie, już w pierwszym ataku z serii (wrzesień 2020) pojawił się także wątek Białorusi – włamywacz opublikował wówczas na koncie Tomasza Sakiewicza fałszywy artykuł (umieszczony na zhakowanym portalu Związku Polaków na Białorusi) o tym, że Polska i Litwa domagają się wysłania wojsk NATO na Białoruś.

Ostatnie akcje przypisywane kampanii „Ghostwriter” zawierają kolejne nowe elementy.

W tym samym czasie, co atak z użyciem konta twitterowego Agnieszki Kamińskiej z Polskiego Radia i kanału na Telegramie (koniec kwietnia 2021 roku), ma miejsce także atak informacyjny na Litwie przeciwko białoruskim opozycjonistom: Swiatłanie Cichanouskiej i Pawłowi Łatuszce. Użyto w nim nowego elementu: fałszywej prośby o dotacje. Autorzy fałszywki postarali się, by wyglądała wiarygodnie. W „prośbie” wykorzystali konto polskiej organizacji charytatywnej z Wilna, a także fejkowe wideo na utworzonym dwa dni wcześniej kanale na YouTubie oraz przejęte konta członka organizacji „Lithuanian Freedom Fighters Union”, które rozsyłało link do fałszywki na Facebooku i Twitterze. Tak sfabrykowana narracja miała przedstawić przeciwników Łukaszenki jako wyłudzaczy i malwersantów. Sprawę opisali badacze DFR Lab, łącząc ją z operacją „Ghostwriter”.

Motywy znane już z poprzednich odsłon kampanii „Ghostwriter” widać też w ataku z 17 czerwca, w którym wykorzystano przejętą skrzynkę mailową Rafała Dzięciołowskiego, prezesa Fundacji Solidarności Międzynarodowej, rozdzielającej środki polskiej współpracy rozwojowej na projekty w krajach Partnerstwa Wschodniego (w tym na wsparcie białoruskich uchodźców). W tym samym ataku wykorzystano także media społecznościowe posłanki PiS Ewy Szymańskiej i kilku innych osób publicznych.

Na przejętym instagramie Szymańskiej pojawiły się screeny „zainscenizowanej” przez zhakowane konta dyskusji wokół wykradzionych ze skrzynki Dzięciołowskiego dokumentów dotyczących budżetu Radia Racja, wspieranej przez Fundację Solidarności Międzynarodowej stacji nadającej dla mniejszości białoruskiej w Polsce. Fałszywka została wykorzystana w artykule uderzającym w relacje pomiędzy Polską a białoruską opozycją, sugerując, że pomoc dla Białorusi jest w Polsce przedmiotem ostrej, ponadpartyjnej krytyki.

Niespełna dwa tygodnie po opublikowaniu zmanipulowanych treści na Telegramie reżim Łukaszenki zawiesił udział Białorusi w Partnerstwie Wschodnim.

Prywatne adresy mailowe Dzięciołowskiego, jak i Szymańskiej, znajdowały się w korespondencji w przejętej skrzynce Dworczyka – co przyznał nam sam minister.

Raport Mandianta z końca kwietnia wspomina także o próbie ataku phishingowego na „ważnego białoruskiego blogera i aktywistę”. Można przypuszczać, że chodzi o którąś z osób prowadzących opozycyjny kanał Nexta na Telegramie (jego współtwórca Raman Pratasiewicz 23 maja został porwany z pokładu samolotu lecącego na Litwę i obecnie przetrzymywany jest przez białoruskie władze). Sciepan Puciła, twórca Nexty, po wycieku maili Dworczyka potwierdził próby zhakowania autorów kanału i podał, że atakowano też konta Domu Białoruskiego, organizacji mniejszości białoruskiej w Polsce.

Łowienie cyberkrasnali

Czerwcowy wybuch afery mailowej to prawdopodobnie kolejny wymiar wielopoziomowej operacji, której korzenie mogą sięgać daleko przed 2020 rok.

Przypomnijmy: fakenewsowy atak z kampanii „Ghostwriter” na stronę Akademii Sztuki Wojennej miał miejsce w kwietniu 2020 r. MON wówczas uspokajał: „serwis uczelni (jako podmiotu niezależnego) był hostowany poza infrastrukturą resortu obrony narodowej, a sam incydent nie miał wpływu na funkcjonowanie resortowych systemów teleinformatycznych oraz przetwarzanych w nich danych”.

Według naszych ustaleń cyberszpiedzy z UNC1151 polowali na zawartość polskich skrzynek mailowych już wiosną 2020, od początku pandemii. Zarejestrowano wówczas pierwsze domeny wykorzystywane w obecnej serii ataków. To był wymarzony moment dla wszelkiej maści cyberprzestępców – wszyscy, także politycy, przerzucili się na pracę zdalną. Wiele osób, które do tej pory pracowały z zabezpieczonych sieci biurowych, musiało zacząć korzystać z prywatnych komputerów.

Z naszej analizy wynika, że jednym z pierwszych ruchów atakujących (w czerwcu 2020) było zarejestrowanie domeny podszywającej się pod adres poczta.ron.mil.pl, obsługiwany przez Resortowe Centrum Zarządzania Sieciami i Usługami Teleinformatycznymi. Pod tym adresem do niedawna krył się panel logowania do środowiska pracy zdalnej resortu obrony narodowej. Odpowiada za niego Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC), którego zadaniem jest zabezpieczenie jawnych i niejawnych systemów informatycznych, z których korzysta ponad sto tysięcy użytkowników – np. żołnierze na zagranicznych misjach.

Miesiąc później zarejestrowano następną domenę – lekko zmodyfikowaną, nadal jednak bardzo podobną do oryginalnej domeny państwowej jednostki.

Czy któryś z ataków był skuteczny? Tego nie wiadomo.

Pod koniec maja, a więc zaledwie tydzień przed tym, gdy opinia publiczna dowiaduje się o wycieku maili Dworczyka, na stronie NCBC pojawia się notatka z treningu symulującego atak cybernetyczny na polski MSZ oraz ambasadę Królestwa Niderlandów na Litwie. „Atakujący umieścili fałszywe treści mające na celu destabilizację sytuacji politycznej w Europie. Do wyjaśnienia źródła ataku zostają zaangażowane Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni Litwy, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (CSIRT MON) oraz Dyplomatyczne Centrum Bezpieczeństwa Cyberprzestrzeni Królestwa Niderlandów. (…) Istnieje uzasadnione podejrzenie, że komputery oraz smartphony dyplomatów Królestwa Niderlandów, Polski i Litwy są skompromitowane [przejęte – aut.] przez adwersarzy”.

CSIRT MON chwali się, że „w 48 godzin zespół, którego liderem jest oficer NCBC identyfikuje skompromitowane urządzenia, ustala funkcjonalności szkodliwego oprogramowania oraz ścieżki jego rozprzestrzeniania się”.

Autorzy notatki podkreślają: „na szczęście, to tylko zakończone sukcesem ćwiczenia”.

W rzeczywistości – a nie w ćwiczeniach – autorzy kampanii „Ghostwriter” są o krok dalej na drodze do osiągnięcia swojego celu – dalszej destabilizacji sytuacji politycznej w Europie.

Tymczasem jeden z ostatnich komunikatów na stronie NCBC informuje o odsłonięciu pomnika krasnala Cyberka we Wrocławiu, który pomaga strzec polskiej cyberprzestrzeni.

Vasya łowi ukraińską armię

Po próbie „złowienia” dostępu do resortu obrony narodowej atakujący sięgają po łatwiejszy łup. Przez rok zakładają ponad 20 domen wyłudzających hasła do kont pocztowych w domenach Wirtualnej Polski, Interii, vp.pl czy onet.pl. Pomysł okazuje się strzałem w dziesiątkę. To na te domeny „nabierają się” między innymi Marek Suski i Michał Dworczyk.

Co wskazuje na to, że ataki na ron.mil.pl, skrzynkę Dworczyka, media społecznościowe Agnieszki Kamińskiej, mogą być dziełem tych samych autorów – grupy, którą Mandiant w ostatnim raporcie nazwał UNC1151?

Z użyciem usługi WHOIS, dostarczającej informacji o domenach internetowych, a także sprawdzając i krzyżując informacje z różnych źródeł (m.in. załączników do raportów międzynarodowych firm zajmujących się cyberbezpieczeństwem), przeanalizowaliśmy ponad 200 domen wykorzystywanych do ataków w latach 2018-2021. Kilkadziesiąt z nich to domeny użyte w Polsce w serii ataków obejmujących okres od maja 2020 do lipca 2021. Część tych domen firma Mandiant przedstawiła w swoim ostatnim raporcie, łącząc je bezpośrednio z grupą UNC1151.

W kwietniu 2021, po próbie ataków na skrzynki posłów Bundestagu, dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi, sprawdzając wysyłany niemieckim posłom link do strony podszywającej się pod niemieckiego dostawcę internetu, natrafił na ponad 30 domen phishingowych zarejestrowanych na organizację o tej samej nazwie.

Podążyłyśmy tym tropem, który urywał się… na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii. To tam „Vasya” i „Yun” zarejestrowali na siebie kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do wszystkich możliwych usług (np. Facebooka, Twittera, iClouda), polskich skrzynek na wp.pl i Onecie, ale także wspomnianego wcześniej polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 i prowadziła do strony logowania związanej z ukraińskim wojskiem.

Podążając tym tropem dalej, wyodrębniłyśmy kolejne grupy domen utworzonych w tym samym czasie według bliźniaczego schematu. Niektóre zarejestrowane są w Polsce, jednak wyróżnia je charakterystyczna literówka: Warazawa, jeszcze inna podgrupa – w Bielsku.

Domeny zarejestrowane pomiędzy wiosną 2020 a latem tego roku są utworzone według podobnego schematu, zabezpieczone w podobny sposób – najczęściej serwery są ukryte za usługą Cloudflare, która – zamiast łączyć użytkownika internetu ze stroną znajdującą się na serwerze atakującego – łączy go tylko z kopią znajdującą się na własnych serwerach Cloudflare. Innymi słowy – przy próbie zidentyfikowania autora strony po numerze IP – ślad urywa się w którymś z 93 państw, w których stoją serwerownie Cloudflare. Podobnie zamaskowane są też dane osób i organizacji, na które zarejestrowano domeny. A i tak, co stwierdziłyśmy wcześniej, są one fałszywe. Dla większości domen zarejestrowanych od początku 2021 jedyną informacją na temat tożsamości stojących za nią osób, jaką można znaleźć w rejestrze WHOIS, jest kraj rejestrującego (obecnie Islandia). Mimo to utworzone w tym okresie domeny podzielają ze sobą tak wiele cech wspólnych, że można je uznać za prawdopodobnie wykorzystywane przez tę samą grupę. Łącznie takich domen przeznaczonych do użycia w samej Polsce wyodrębniłyśmy ponad 30.

Jedna z ostatnich prób ataku, na którego ślad trafiamy, została przepuszczona z domeny zarejestrowanej 9 czerwca 2021 roku, podszywającej się pod konfigurację firewalla; według naszych informacji phishing kierujący do strony udającej panel logowania do Lotusa wyłapał i zablokował filtr na serwerach sejmowych. Lotus to należący do IBM system obsługujący polski Sejm. Jednak mniej więcej w tym samym czasie i tak doszło do wejścia na sejmową skrzynkę Dworczyka – 1 lipca screen z jej zawartości, datowanej na 14 czerwca, pojawił się na kanale na Telegramie. Ci sami sprawcy logowali się też do sejmowych skrzynek 10 innych posłów różnych ugrupowań.

Dziennikarze Wirtualnej Polski ujawnili, że poczta zarówno Sejmu, jak i wielu rządowych instytucji, zawiera krytyczne błędy.

Po co grupie, która miałaby zajmować się np. tylko zamieszczaniem kompromitujących wpisów o asystentkach czy prorosyjskich fake newsów w mediach społecznościowych posłów, ataki na takie cele jak ukraińskie wojsko czy przedsięwzięcia obronne? W połączeniu z atakiem na stronę Akademii Sztuki Wojskowej czy resort obrony narodowej można zakładać, że niektóre działania mogły mieć drugie dno – na przykład służyły do rekonesansu infrastruktury, który zwykle poprzedza bardziej złożone uderzenia. W ten sposób atakujący „przygotowuje się” do większych operacji, sprawdza zabezpieczenia i reakcje służb.

Szkoła GRU?

Z raportu Mandianta wynika, że UNC1151 już w 2018 – z wykorzystaniem nieaktywnych dziś domen z rozszerzeniem .ml i .tk próbowała łowić nieuważnych internautów. Te rozszerzenia to domeny Mali i Tokelau. Są popularne wśród cyberprzestępców, bo można je zarejestrować za darmo. Wiele ataków phishingowych z domen wykorzystywanych w tamtym okresie, przypisywanych dzisiaj UNC1151, dotyczyło adresów ukraińskich, ale nas najbardziej zainteresował adres utworzony w kwietniu 2018 – z oczywistym zamiarem wyłudzenia danych od użytkowników domeny poczta.mon.gov.pl. W 2018 r. pod tym adresem do swoich skrzynek mailowych logowali się pracownicy MON (dziś tę funkcję pełni atakowany przez UNC1151 w 2020 r. adres w domenie ron.mil.pl).

Fałszywa domena mon-gov.ml (z literówką w rozszerzeniu) kieruje nas na kolejny interesujący trop – działania innej, a być może tylko pozornie innej grupy cyberszpiegowskiej niż UNC1151.

Żywot phishingowych domen jest krótki, zależy od prędkości reagowania służb czy filtrów antyspamowych. Każdy kolejny atak wymaga więc coraz większej kreatywności. Przypomnijmy – adres, którego UNC1151 użyło w 2018 to http://poczta.mon-gov.ml/. To strzał w dziesiątkę: domena zostaje skasowana dopiero w październiku 2020. Jednak nie jest to pierwsza próba phishingowania polskiego MON-u.

W lutym 2016 identycznie zbudowanego adresu – poczta.mon-gov.pl (z myślnikiem zamiast kropki) używają inni sprawcy do próby wyłudzenia danych z MON. Dwa lata wcześniej – w 2014 – eksperymentują z adresem poczta.mon.q0v.pl. Domena mon-gov.pl została przejęta przez polski CERT, g0v.pl obecnie należy do polskiego użytkownika – obie są bezużyteczne dla atakujących.

Sprawcy tamtych dawniejszych ataków są znani – analitycy z firm zajmujących się cyberbezpieczeństwem identyfikują ich jako APT28 (APT to skrót od „advanced persistent threat”, czyli zaawansowane trwałe zagrożenie). To jeden z wielu aliasów, pod którymi kryje się jednostka w mediach funkcjonująca między innymi jako „grupa aktywistów” Fancy Bear, a zdemaskowana jako jednostka GRU, rosyjskiego wywiadu wojskowego.

Można by powiedzieć, że to przypadkowa zbieżność – w końcu możliwości podszycia się pod mon.gov.pl ogranicza skończona liczba kombinacji możliwych literówek – ale kiedy patrzymy na domeny, podobieństw co do celów i szablonów domen jest więcej. Wśród działań przypisywanych UNC1151 przez Mandiant znajduje się atak na adresy mailowe armii Kuwejtu (również z 2018). Ustaliliśmy domenę, z której został przeprowadzony. Niemal identycznej domeny – różniącej się tylko rozszerzeniem – według ekspertów od cyberbezpieczeństwa z firmy TrendMicro – APT28 użyła z kolei w październiku 2015.