Kiedy masz świadomość iż to Ty pierwszy wykryłeś aferę , nie ujawniłeś się z tym natychmiast w mediach społecznościowych , nie pokazujesz na Twitterze iż się tym tematem w najmniejszym choćby stopniu interesujesz , czujesz iż nikt kogoś być nie chciał , Ciebie „nie będzie obserwować” choć kontrolujesz każdego nowego Followersa a jedynie mogąc „obserwować” dziennikarzy którzy o tym piszą oraz hasztagi z tą sprawą związane a do tego masz pewną operacyjną „wiedzę„, posiadasz „lewe” konta z IP w innym kraju niż Polska i do tego „invisible” poprzez wykorzystanie dobrego VPN , posługujesz się „wirtualnym” pulpitem oraz przynajmniej przeglądarką „Duck Duck Go” , to masz realną szansę mieć choć niewielką ale jednak , przewagę nad hakerami pracującymi dla jednego lub wielu wywiadów. Trzeba bowiem mieć pełną świadomość i nie można tego wykluczyć iż oprócz białoruskich czy rosyjskich służb specjalnych na tą „sprawę” mogą też „patrzeć” pod kątem wykorzystania „operacyjnego” również hakerzy chińscy, północno-koreańscy czy z państw Bliskiego Wschodu a choćby Iranu. Baza danych która wynika z operacji jednych służb staje się również zródłem informacji o Polsce , jej systemach cyberbezpieczeństwa również dla służb specjalnych innych państw a zewnętrznych wrogów zamiast nam ubywać to niestety -przybywa. Mając na bieżąco informacje z mediów polskich i zagranicznych , możesz w „cieniu” prowadzić swój prywatny research , analizy i śledztwo , sprawdzając dokładnie każdą choćby najmniejszą informację.
„Krowa która dużo ryczy, mało mleka „daje„. Ta dewiza jest nie tylko moją „osintową” mądrością . pozostało motto: „Kowal zawinił , Cygana powieszą ” choć na te motto w tym ,konkretnym przypadku , trzeba inaczej „spojrzeć”. Wszyscy wcześniej pisali ,robili analizy dotyczące afery związanej z wykradzeniem maili ,ja spokojnie czekałem zbierając informacje ponieważ nie piszę w jakiejś sprawie tuzinów płatnych blogów czy artykułów / stając się niechcąco ale jednak ?słupem ogłoszeniowo-reklamowym” dla hakerów /ale jeden potężny w swej zawartości graficzno-dokumentalnej treści , darmowy blog z cyklu BIAŁY WYWIAD lub AKADEMIA WYWIADU. Jedynymi wyjątkami była szpiegowska seria promująca książki #OperacjaRetea, #OperacjaSinge ,#OperacjaRafael czy też blogi o rosyjskich PMC zakończone blogiem analizującym na podstawie raportu kanadyjskiej analityczki , Candance Rondeaux współpracującej z CSIS . Afera którą moi rodacy się emocjonują nie ma swoich „korzeni” od dnia 8.06.2021 kiedy ujawniono wyciek ale dużo wcześniej. W wrześniu 2020 roku, powstaje bowiem obszerny, niezwykle istotny raport przygotowany przez FBI dla amerykańskiego Departamentu Sprawiedliwości analizuje „Lakhta Project”.
Co zawiera ten raport ?
Russian Project Lakhta Member Charged with Wire Fraud Conspiracy | OPA | Department of Justice
Wielu internautów szczególnie na Twitterze pyta się mnie czasami o „wiedzę„. Odpowiadając im piszę im iż „dużo czytam” ale nie mam na myśli tylko książek ale też takie właśnie dokumenty . Mam zresztą sporą domową „biblioteczkę” umiejscowioną nie w komputerze a ze względu ich cyfrowej pojemności na mobilnych dyskach , różnych analiz w plikach PDF i to w kilku również w dość „egzotycznych” językach.
Powyższy raport FBI pochodzi z 2020 r. „Wrzucałem” go jako researcher na Twittera ale w Polsce nikt go choćby nie zauważył na moim TL / Time Line/ . Śmieję się w duchu z niektórych moich Followersów iż mnie „obserwują” ale i tak nic nie widzą ale jednak widzą to dziennikarze czy analitycy amerykańscy czy brytyjscy związani z służbami specjalnymi i dlatego czasami mam takich „Followersów” których nazwiska nikomu nic nie powiedzą na polskim Twitterze ,choć mogę założyć iż „obserwują” mnie przedstawiciele praktycznie wszystkich najważniejszych służb specjalnych z całego świata. Czasami więc trzeba uważać co się „wrzuca”.
Wracając do tematu i znając ten raport FBI można zupełnie innym okiem „patrzeć” na niestety ,”wielopoziomową”, wspólną działalność rosyjskich cyberprzestępców i rosyjskich wywiadów SWR /SVR/ oraz GRU. Jest więc nie tylko dezinformacja ale towarzyszy jej ukryta, dywersja psychologiczna.
„Ty masz „zobaczyć” tylko to co my – celowo chcemy tobie „pokazać” abyś poszedł tylko tą „drogą” którą my ci wskażemy „.
Kiedy masz choćby podstawową wiedzę dotyczącą dywersji psychologicznej to na każdą taką aferę „patrzysz” zupełnie innym, pozbawionym emocji ,”chłodnym okiem”. W internecie toczy się brutalna wojna z Rosją oraz z Chinami a sieć jest przysłowiowa jak „góra lodowa” której 1/4 „widzi” Titanic czyli zwykli internauci ,natomiast tak naprawdę aż 3/4 jego jest ukryte pod powierzchnią. To tzw „dark net„. Na wojnie musisz zachowywać się i myśleć jak żołnierz z wszystkimi zasadami dotyczącymi wojny. „Medialnie” więc milcząc na Twitterze i Facebooku oraz z względów swojego bezpieczeństwa , będąc zawsze odpowiednio „uzbrojony” tak jak pisałem na wstępie ,korzystając dodatkowo z „lewych” kont ,zachowując wymaganą ostrożność – przede wszystkim obowiązkowo „wirtualny pulpit” ,obowiązkowo przeglądarka DuckDuck Go lub podobna a w „pewnych” przypadkach – „cebulka” TOR :), szyfrowanie VPN , ,etc ,”obserwowałem” od jakiegoś czasu pewne konta w polskich mediach społecznościowych analizując ich interakcje, aktywność, kontakty .
Wszystko zaczęło się od kobiety . Mogę zdradzić iż jedną z moich technik jest prowadzenie na moim koncie na Twitterze tzw „list tematów” . choćby jeżeli „obserwuję” tysiąc kont to razem z listami de facto „widzę” -5 razy tyle .Wśród moich zainteresowań jest też polityka zagraniczna a iż moi poważni Followersi na Twitterze mają medialne interakcje z różnymi kontami więc ja w tzw „powiadomieniach” otrzymuję różne informacje. Tak było w przypadku tego konta a wszystko zaczęło się od 28.05.2021 kiedy zupełnie przypadkowo przeglądając konta byłej Premier Beaty Szydło i europosła Tomasza Poręby zobaczyłem dziwne tweety wysyłane z poniższego konta
8.06.2021 pokazał mi się
Jeden „lajk” , żadnych interakcji…zrobiłem szybki research tego konta i co się okazało iż do 26.02.2021 to konto było prowadzone normalnie a pózniej zaczęły dziać się na nim -cuda..
Nie ulegało dla mnie żadnej wątpliwości iż to konto zostało zhakowane 8.06.2021 ale swoje tweety -haker lub hakerzy powstawiali do wszystkich tweetów od 28.05.2021 ..
Od 28.05.2021 do każdego tweeta na tym koncie „dołączono” więc tweet z informacją o zhakowaniu skrzynki ministra Michała Dworczyka. Aby uzyskać więcej informacji musiałem zrobić research konta aż do jego początku.
Okazało się iż na profilu p. „Katarzyna Kozon” swoje artykuły publikuje p. Katarzyna Klimaszewska związana nie tylko z Portalem Spraw Zagranicznych ale między innymi z Kołem Naukowym Amerykanistyki UKSW
Inny tweet
Skoro z Twittera jest „odesłanie” na konto na Facebooku to przyjąłem to „wirtualne” zaproszenie i udałem się na Facebooka…
Jakież było moje zdziwienie kiedy zobaczyłem taki post z 23.06.2021 a więc dwa tygodnie po zhakowaniu poczty ministra Dworczyka.
Niestety w pewnym momencie ich progresywne działania spowodowały iż w dniu 8.06.2021 o godzinie 20:33 / niebieska linia / de facto napisałem wymuszonego tweeta którego po tzw „dobrej radzie” tak gwałtownie skasowałem iż choćby śledczy dziennikarze portalu „KONKRET 24 ” próbując w poniższym artykule ustalić kto był tym „pierwszym” , wskazali na innego internautę , mojego nie doszukali się
Czasami jednak dobrze pracować w „cieniu„
….
Tweet ma być nie tylko informacją ale też sygnałem dla kogoś.
Specjalnie więc chcąc „podprogowo” spowodować szybką reakcję odpowiednich służb , użyłem w tweecie -hasztaga #ABW . Reakcja była natychmiastowa.
Ze zrozumiałych względów i to nie chodzi tylko o ustawę o ochronie danych osobowych ale też bezpieczeństwa , specjalnie zamazałem dane personalne eksperta bezpieczeństwa który mogę to w „ciemno” napisać ,przynajmniej współpracuje z Agencją Bezpieczeństwa Wewnętrznego . Nasza półgodzinna „rozmowa” była krótka i skończyła się o godzinie 21:11 / zielona linia / .
Jako jeden z pierwszych o godzinie 21:58 informację o zhakowaniu konta na Facebooku żony ministra Dworczyka , poinformował jeszcze wieczorem 8.06.2021 portal ONET.PL.
Onet: Włamanie do prywatnej skrzynki Michała Dworczyka. Wyciekły tajne dokumenty (msn.com)
Zaskoczony jestem iż wszyscy interesujący się tą sprawą już na samym jej początku przeszli w zasadzie bez żadnej choćby pobieżnej analizy nad postem który pojawił się na koncie na Facebooku żony ministra –Agnieszki Dworczyk.
Pierwsze dwa zdania z tego posta wymagają naszego komentarza :
„SKRZYNKA MAILOWA MOJEGO MĘŻA MICHAŁA DWORCZYKA ZOSTAŁA ZHAKOWANA , UTRACONY DOSTĘP DO KONTA NA FACEBOOKU MICHAŁ DWORCZYK. Z PRZYKROŚCIĄ MUSZĘ POINFORMOWAĆ , ŻE MOJA SKRZYNKA E-MAIL ZOSTAŁA ZHAKOWANA PRZEZ NIEZNANE OSOBY „.
Pierwsze zdanie jest de facto oświadczeniem hakera lub hakerów a drugie ma wyglądać jakby to było oświadczenie żony ministra ale skąd wiadomo czy to konto na Facebooku zhakował akurat jeden haker czy była to grupa hakerów ? Pomijając konto na Facebooku ministra Dworczyka to nasuwa się też pytanie w jaki sposób poprzez konto żony ministra zostało przede wszystkim zhakowane konto mailowe jej męża ? Moja żona ma też konto na Facebooku ale choćby w przypadku jego zhakowania i wrogiego „przejęcia” to żaden choćby nie wiem jak dobry haker nie znajdzie tam żadnej informacji o moim koncie a tym bardziej żadnej możliwości „dojścia” przez konto małżonki do loginu i haseł do mojej poczty choćby jakby ona była na Interii, Wirtualnej Polsce czy Onecie…. W najgorszej opcji zakładam więc iż były to „równoległe” akcje hakerów a kiedy przejęto pocztę mailową oraz konto na Facebooku ministra to z konta na tym portalu społecznościowym jego małżonki zrobiono sobie jedynie -słup ogłoszeniowy….
Redaktor Anna Mierzyńska w jednej z swoich licznych analiz odnosząc się do nazwisk tak napisała o jednym z największych na świecie „wycieków z kont loginów i haseł zwanym w środowisku IT jako COMB21 z 2.02.2021 /RockYou2021 / wśród których znalazło się też wiele polskich kont.
Jednak pierwsza informacja z 08.06.2021 „wyszła” od hakerów z konta na Facebooku żony ministra Dworczyka chyba iż to było hakerskie „zmylenie przeciwnika”….
Zdawając sobie sprawę iż hakerzy aby dostosować i kontrolować co ma „wyciekać „w planowanej kolejności muszą z całą pewnością „obserwować” wszystkie hasztagi / #maileDworczyka , #aferamailowa #Dworczyk #DworczykGate i #DworczykLeaks / które powstały po 8.06.2021 , komentarze internautów, polityków czy dziennikarzy a zwłaszcza ich analizy wycieku postanowiłem milczeć w tej sprawie . Należy założyć iż hakerzy udostępnią tylko te informacje które będą chcieli nam udostępnić a do tego w zaplanowanej kolejności i nie można zakładać iż się pomylą i cokolwiek ujawnią ale mimo to korzystając z narzędzi ,należy analizować pod względem uzyskania chociaż jakichkolwiek możliwych dostępnych metadanych które pozwolą na analizę wycieku.
9.06.2021. „Poufna Rozmowa” .Godzina 10:03
Aby chociaż spróbować „dojść” do zródła wycieku trzeba niestety „myśleć” jak haker .Można więc założyć w „ciemno” iż pierwsze co hakerzy czytają to są jakiekolwiek analizy robione przez ekspertów i analityków przez nich zrobionego „wycieku” a dopiero potem komentarze polityków czy artykuły dziennikarzy śledczych . Drugą analizę ale pierwszą ciekawą dla portalu OKO PRESS która mogła zainteresować hakerów ,zrobiła analizująca media społecznościowe redaktor Anna Mierzyńska. To była dziennikarka Gazety Współczesnej , była też dyrektorka Biura Regionalnego Platformy Obywatelskiej w Białymstoku oraz była dyrektorka biura p. posła Roberta Tyszkiewicza który przypomnijmy w 2015 roku był szefem przegranej niestety , kampanii wyborczej Prezydenta Bronisława Komorowskiego .
To była pierwsza dobra analiza z której można było dowiedzieć się iż „Poufną Rozmowę” założono na kanale Telegram w dniu 4.06.2021. Wiedząc iż od 28.05.2021 na koncie Katarzyny Kozon zaczęto dołączać tweet z informacją o zhakowaniu konta żony ministra Dworczyka to była dla mnie dość ważna informacja. Wtedy też było znane oświadczenie portalu Wirtualna Polska że nie odnotowano żadnych działań hakerów. Było oczywistym i logicznym w tym momencie iż dostęp do poczty ministra na tym portalu mogły mieć tylko najbardziej zaufane osoby i tylko one znały hasła / login potrzebne do logowania lub konto przejęto w wyniku ataku pishingowego wykorzystując do tego , domeny łudząco podobne do domen z Wirtualnej Polski.
Atak na Dworczyka to operacja wschodnich służb? To nie musi być prawda (oko.press)
Autorka sygnalizuje też w swym artykule opinie ekspertów którzy mają rację iż maile mogą być „zarażone” i może być do nich „podpięte” różnego rodzaju internetowe „robactwo„. Tego nie można nigdy wykluczyć a żeby „otworzyć” takie maile od hakera to trzeba przede wszystkim wcześniej mieć odpowiednio „wyposażony” komputer, laptop lub tablet w aplikacje zabezpieczające choćby przed atakami typu spyware.
Metadane plików można oczywiście edytować a ponieważ pierwszymi „czytelnikami” takich analiz mogą być hakerzy to trzeba nie tylko uważać z wnioskami ale przede wszystkim poczekać na większą ilość informacji do analizy ponieważ trzeba założyć również to iż hakerzy pokażą tylko to co chcą abyśmy „zobaczyli ” również w metadanych.
8.06.2021
Redaktor Anna Gielewska i redaktor Konrad Szczygieł.
„PRIWIET, ZOSTAŁEŚ ZHAKOWANY ! „
Cyberbezpieczeństwo. Jak hakerzy przejmują konta polityków i po co to robią – TVN24
Ktoś od miesięcy włamuje się do maili i na konta w mediach społecznościowych ministrów, posłów, dziennikarzy i żołnierzy. Do sieci trafiają półnagie zdjęcia radnych, sfingowane anonse na portalach z ogłoszeniami prostytutek i fake newsy o radioaktywnej chmurze znad Litwy. Co łączy te ataki? Tropy – jak ustalili dziennikarze Fundacji Reporterów, analizujący dezinformację w sieci – wiodą do hakerskiej grupy „Ghostwriters”, która realizuje rosyjskie cele. – Przejętych kont są już tysiące. To tykająca bomba – twierdzą źródła w polskich służbach specjalnych. Tekst redaktor Anny Gielewskiej i redaktora Konrada Szczygła.
” Akcje dezinformacyjne z użyciem zhakowanych kont powtarzają się już regularnie co kilka tygodni, ale wzbudzają jedynie chwilowe zainteresowanie mediów. Choć niezidentyfikowanym hakerom udało się przejąć konta marszałek Sejmu, kilku członków rządu, grupy posłów (w tym członka komisji ds. służb specjalnych) i samorządowców, politycy wciąż nie traktują zagrożenia poważnie.
Haker zarzuca przynętę
Wszystko zaczyna się od phishingu. To atak, w którym hakerzy fałszują korespondencję z mediów społecznościowych lub innych usług elektronicznych, żeby wyłudzić od ofiary login i hasło. Skuteczny atak phishingowy umożliwia hakerom przejęcie skrzynki mailowej, listy kontaktów czy zdjęć, a jeżeli skrzynka podpięta jest pod media społecznościowe lub to samo hasło używane jest w kilku portalach, mają otwarte drzwi do innych kont czy zawartości telefonu ofiary. Przejęte w ten sposób konta na Twitterze i Facebooku wykorzystywane są następnie w ataku dezinformacyjnym. Dziwne wpisy polityków, choć są najbardziej widowiskowym aspektem akcji, to tylko ostatni akord tej operacji. W ataku wykorzystywane są też fejkowe strony, które podszywają się pod domeny instytucji państwowych, zhakowane i prawdziwe strony mediów lub polityków, a także korespondencja wysyłana z przejętych kont e-mail.
To długofalowa, zorganizowana i szeroko zakrojona operacja dezinformacyjna – wymagająca dużego zaangażowania sił i środków. Jej dokładne cele są wciąż niejasne. Z naszych ustaleń wynika, iż grupa, która stoi za serią ataków, mogła już zdobyć olbrzymią liczbę wrażliwych danych od kluczowych osób w państwie.
– Operacja pozyskiwania „kompromatów” [informacji, które można wykorzystać, żeby kogoś skompromitować – red.] na temat posłów, dziennikarzy, analityków trwa od wielu miesięcy. Adresy mailowe, które były celem phishingów, nie są przypadkowe. Na celowniku znajdują się też członkowie rodzin polityków – mówi nasz rozmówca ze służb.
Chodzi o adresy niedostępne publicznie. To świadczy o tym, iż ofiary ataków zostały wcześniej dokładnie wyselekcjonowane i wybadane. – To znaczy, iż w grę wchodzi profilowanie, szantaż, szpiegostwo i operacje manipulacyjne – przyznaje inny z naszych rozmówców.
Przyjrzeliśmy się tej operacji. Kto za nią stoi? Jaki jest jej cel?
Haker zostawia ślady
„Mega skandal! Litewskie służby specjalne oskarżają Polskę o szkolenie ekstremistów!”, „Seksafera w MON. W tle skandalu prezydent Duda, szef litewskiej dyplomacji i amerykańscy generałowie”, „Państwowa Agencja Atomistyki alarmuje! Zagrożenie radiologiczne na terenie Polski”.
To tylko kilka tytułów, które pojawiły się w ostatnich kilkunastu miesiącach na portalach i kontach w mediach społecznościowych, do których włamali się cyberprzestępcy.
17 marca na stronie internetowej Państwowej Agencji Atomistyki (PAA) pojawia się fałszywy artykuł o radioaktywnym wycieku na Litwie, który grozi Polsce katastrofą ekologiczną. Strona PAA powołuje się na komunikat litewskiego Inspektoratu Bezpieczeństwa Nuklearnego (VATESI). Jak zbadał portal niebezpiecznik.pl, zajmujący się cyberbezpieczeństwem, fejkowy komunikat w rzeczywistości pochodził z podrobionej strony, która różniła się jedną literą w adresie (l – el zamiast i): vatesl.lt.
Pięć minut po tym, jak vatestl.lt informuje o „incydencie radioaktywnym” na Litwie, hakerzy publikują na stronie PAA fałszywy tekst z ostrzeżeniem o radioaktywnym skażeniu. Po kolejnych kilkudziesięciu minutach podobna informacja trafia na stronę zdrowie.gov.pl, tym razem sfabrykowany tekst skupia się na objawach choroby popromiennej.
Następnie fake news idzie w świat. Udostępnia go na Twitterze konto prawicowego dziennikarza, eksperta ds. Rosji Marka Budzisza. Konto – przejęte przez hakerów – publikuje wpis kilkadziesiąt razy, zaczepiając na Twitterze m.in. polskiego premiera Mateusza Morawieckiego. Linkuje przy tym zarówno do zhakowanych stron na PAA i MZ, jak i do ich kopii w web archives, czyli serwisach przechowujących archiwalne wersje stron.
Sfingowany tekst udostępniają również zhakowane konta dwóch lokalnych działaczy PiS: starosty garwolińskiego Mirosława Walickiego i Andrzeja Rochmińskiego, szefa lokalnych struktur partii w Zielonej Górze. I tym razem hakerzy – spodziewając się, iż informacja gwałtownie zniknie z oficjalnej strony PAA – na profilu facebookowym radnych umieszczają wpisy do archiwalnej wersji ogłoszenia na stronie PAA. Dzięki temu wieść o zagrożeniu radioaktywnym przez cały czas jest dostępna dla obserwujących profil radnego. Dodatkowo konto Rochmińskiego udostępnia link na Twitterze, zaczepiając konta z dużą liczbą obserwujących, m.in. Katarzyny Lubnauer i Grzegorza Schetyny.
Z kolei niebezpiecznik.pl zwrócił uwagę, iż prawdopodobnie doszło do przejęcia całego systemu tworzenia treści PAA lub choćby firmy obsługującej instytucje administracji rządowej. Państwowa Agencja Atomistyki jeszcze tego samego dnia dementuje fałszywą informację, a Marek Budzisz po kilku godzinach informuje, iż odzyskał dostęp do twitterowego konta.
Atak – jak zwrócił uwagę portal Konkret24 – zbiega się w czasie z rozmowami rządów Polski i Francji o budowie w Polsce elektrowni atomowej.
Jak wskazują nasze źródła, adresy mailowe Budzisza i Walickiego znajdowały się wcześniej na długiej liście adresów zaatakowanych w ramach zorganizowanej operacji phishingowej. Tej samej, w której hakerzy przejmowali skrzynki posłów i członków rządu.
Ustaliliśmy, szukając pochodzenia zdjęcia, którego używali hakerzy, iż fałszywy tekst umieszczony na sfabrykowanej stronie to manipulacja autentycznym komunikatem VATESI o konsultacjach publicznych w sprawie składowiska odpadów radioaktywnych, który na lokalnych stronach pojawił się zaledwie parę godzin wcześniej (o 4.52). Strona vatesl.lt powstała tego samego dnia, kilka godzin przed atakiem.
Haker łowi w wojsku
Również pozornie błahe, złośliwe ataki na polityków, choć wyglądają na próbę wywołania skandalu obyczajowego, mają drugie dno.
25 lutego 2021 r. przestępcy wykorzystują do ataku stronę internetową marszałek Sejmu Elżbiety Witek, stronę prawicowego tygodnika tysol.pl, konto wiceministra nauki i senatora PiS oraz prywatne zdjęcia żołnierki sił NATO. Jak wygląda atak?
Najpierw atakujący pozyskują – prawdopodobnie z maila lub prywatnego profilu na Facebooku – niepublikowane zdjęcia kobiety z misji wojskowych.
Następnie w serwisie z ogłoszeniami prostytutek pojawia się sfabrykowany anons o treści: „Mój talent już poruszył serca i pozostał na długo w pamięci wielu światowych liderów, VIP-ów oraz generałów”. Anons opatrzony jest podpisem i zdjęciami wykradzionymi z profilu facebookowego żołnierki (fotografia profilowa i pamiątki z misji wojskowych). Jest też zdjęcie zrobione podczas misji w Kuwejcie, w towarzystwie prezydenta Andrzeja Dudy:
https://view.genial.ly/60610e10de5a860d1223adcb
Zrzut anonsu publikuje przejęte konto wiceministra nauki Włodzimierza Bernackiego na TT i fejkowe konto senatora PiS Marka Martynowskiego. Pierwsze komentuje wpis i robi mu zasięg, drugie spamuje zrzutem opiniotwórcze konta w sieci.
Zanim historia rozniesie się po mediach społecznościowych, dzieje się coś jeszcze – zrzut z fałszywego wpisu na koncie TT wiceministra nauki ląduje na poselskiej stronie internetowej Elżbiety Witek. Zrzut opatrzony jest spreparowanym opisem: „W związku z propozycją sekretarza stanu w Ministerstwie Nauki i Szkolnictwa Włodzimierza Bernackiego w tej chwili Komisja Obrony Narodowej prowadzi dochodzenie w sprawie prostytucji w Wojsku Polskim i publicznego znieważenia Prezydenta”.
Hakerzy idą dalej – włamują się na stronę prawicowego portalu tysol.pl, gdzie publikują fejkowy artykuł oparty na sfabrykowanym wpisie na stronie marszałek Witek. Całość ilustrują zaś kolejnymi zdjęciami żołnierki – tym razem w samolocie wojskowym – wykradzionymi z jej prywatnego profilu.
O tym, iż sprawa nie ma nic wspólnego z historią obyczajową, świadczy też wzmianka o szefie litewskiej dyplomacji Gabrieliusie Landsbergisie. Autorzy sfingowanego tekstu na tysol.pl piszą, iż miał się on spotkać – na swoją osobistą prośbę – z podporucznik w czasie oficjalnej wizyty w Polsce w lutym 2021. Polityk miał jednak poznać żołnierkę już wcześniej, gdy odwiedzał polskich pilotów w litewskiej bazie lotniczej w Szawlach. Hakerzy kończą swój sfabrykowany tekst słowami: „Nasz rozmówca potwierdził, iż MON regularnie wykorzystuje kobiety, w tym funkcjonariuszy, do świadczenia usług towarzyskich dla VIP-ów”.
Tak spreparowany fake news następnego ranka zostaje rozdystrybuowany na Litwie przez zhakowane konta Litwinów.
Litewskie MSZ błyskawicznie zaprzecza fałszywym doniesieniom. Redakcja tysol.pl zdejmuje tekst i informuje, iż jej strona została przejęta.
Zapytaliśmy Kancelarię Sejmu, czy wie, iż także marszałek Sejmu padła ofiarą tego ataku oraz jak tłumaczy wpis na stronie internetowej Elżbiety Witek (strona przez cały czas jest w konserwacji). Centrum Informacyjne Sejmu (CIS), mimo próśb, nie odpowiedziało precyzyjnie, czy wie o włamaniu na stronę internetową Elżbiety Witek. Zamiast tego wymienia szczegółowo, które konta w mediach społecznościowych prowadzi, i informuje, iż „Kancelaria Sejmu nie bierze (…) udziału w działaniach posłów, związanych z ich kontami w mediach społecznościowych”.
Gdy analizujemy publicznie dostępną zawartość konta żołnierki, naszą uwagę przykuwają jej fotografie ślubne. Analiza konta wskazuje, iż jej mężem jest najprawdopodobniej żołnierz związany z misjami zagranicznymi, w tym – w przeszłości – z jednostką wojsk specjalnych z zachodniej Polski. Czy on także mógł być celem ataku? Dzwonimy do niego z pytaniem o włamanie na konto jego żony. Twierdzi, iż to pomyłka i odrzuca połączenie. Chwilę później zmienia zawartość profilu na Facebooku – publiczne wcześniej zdjęcia z bohaterką tweetów Bernackiego, stają się niedostępne.
Haker szantażuje posła
Gdy w listopadzie 2020 roku na Facebooku i Instagramie posła Marcina Duszka (PiS) pojawiają się jego zdjęcia w towarzystwie – jak twierdził fałszywy wpis – roznegliżowanej asystentki, wśród komentatorów przeważają opinie o zemście kochanki lub bujnym życiu towarzyskim młodego posła.
Tymczasem gdy przyjrzeć się historii wpisów w mediach społecznościowych posła Duszka, sprawa przestaje być oczywista. Okazuje się, iż jego konto zostało zhakowane na długo przed udostępnieniem zdjęć „asystentki” lub też hakerzy włamali się do niego dwukrotnie.
W październiku – niespełna miesiąc przed wyciekiem zdjęć rzekomej asystentki Duszka – jego konto na Twitterze udostępnia link do tekstu z portalu prawy.pl: „Polska w epicentrum walki. NATO szykuje się do wielkiej wojny z Rosją”. W tym samym czasie, w odstępie kilku minut, identyczny wpis pojawia się na innych kontach należących do polityków PiS – Joanny Borowiak i Andrzeja Melaka. To ostatnie konto udostępni go również w popularnej zamkniętej grupie Facebookowej popierającej premiera Morawieckiego.
Tekst, który zamieszczają, to fejkowy artykuł. Portal Konkret24, który opisywał ataki hakerskie na polityków PiS, informował: „Spreparowany tekst ze strony space24.pl, z innym tytułem (oryginalny dotyczył utworzenia centrum operacji kosmicznych), pojawił się na witrynie z lokalnymi wiadomościami Obserwator Nadodrzański ono24.info i na stronie prawy.pl”. Przeróbka polegała na zmianie tytułu i dopisaniu trzech akapitów – była w nich mowa o planach NATO, by zwiększyć liczebność wojsk sojuszu w Polsce, Litwie i Łotwie.
Jak twierdzą nasze źródła, większość dotychczas zhakowanych e-maili to skrzynki prywatne – głównie w domenach wp.pl, ale także interia.pl i onet.pl.
O skrzynkach na wp.pl mówił też w dzienniku „Polska The Times” poseł Duszek: – Wiemy już, iż na początku października do części z nas włamano się na skrzynki pocztowe w Wirtualnej Polsce. Przy czym 6 października włamano się również na moją pocztę, umieszczając dziwną, zaszyfrowaną wiadomość. Po około miesiącu dostałem jeszcze jedną wiadomość o szantażu i ewentualnym wycieku materiałów, które mnie skompromitują, jeżeli nie będę wykonywał poleceń szantażysty. Ta wiadomość samoczynnie zniknęła z mojej skrzynki. Nie potraktowałem jej zatem poważnie, uznając za głupi żart. Ten zbiór dziwnych i nieprawdziwych, a także wykradzionych z prywatnej korespondencji treści, pojawiał się na naszych profilach nie wiadomo skąd. Tak jakby ktoś miał nagle dostęp do wszystkich naszych kont i haseł.
Przeszukaliśmy sieć pod tym kątem. Ustaliliśmy, iż konta na wp.pl mają m.in. żołnierka, biuro poselskie Marka Suskiego, a także partner w PR-owej spółce R4S, Robert Pietryszyn – wszystkie te konta były wykorzystane w atakach w styczniu i lutym 2021 roku.
Po miesiącu od pierwszych anty-NATO-wskich tweetów opublikowanych na zhakowanym Twitterze posła Duszka, na jego Instagramie nieznani sprawcy publikują prywatne zdjęcia jego partnerki. Kilka dni później na kontach posłów PiS pojawiają się fake newsy wymierzone w relacje polsko-litewskie. Tym razem hakerzy wykorzystują facebookowe konta Jarosława Chmielewskiego (byłego radnego PiS we Włocławku), Joanny Borowiak oraz innego posła PiS, Arkadiusza Czartoryskiego, a także podrobioną stronę litewskiej policji informującą o rzekomym zatrzymaniu na terytorium Litwy wyszkolonych w Polsce terrorystów.
Haker widmo atakuje NATO
Te same strony, które hakerzy wykorzystują w pierwszym ataku z udziałem konta posła Duszka (umieszczając na nich fake newsa o wojennych przygotowaniach), były już wcześniej hakowane i wykorzystywane w podobnych atakach. Portali prawy.pl i ono24.info użyto także w ataku na Akademię Sztuki Wojennej w kwietniu 2020 roku, przed wyborami prezydenckimi. Na stronie Akademii pojawił się wówczas sfabrykowany list generała Ryszarda Parafianowicza, ówczesnego rektora, podważający sojusz polsko-amerykański. Następnie fejkowy tekst o tym liście udostępniały lokalne (zhakowane wcześniej) strony, w tym właśnie ono24.info i prawy.pl (a także lewy.pl). Do rozprowadzenia tekstu w mediach społecznościowych posłużyły konta FB bezpośrednio związane z Niezależnym Dziennikiem Politycznym, kwalifikowanym jako witryna z rosyjską propagandą.
Konta związane z NDP były pierwszymi, które udostępniały fejkowe teksty, a tym samym rozprowadzały operację w polskich mediach społecznościowych. To silna poszlaka, iż za atakiem stała machina rosyjskiej dezinformacji, zwłaszcza iż do rozprowadzenia materiału o rzekomym liście generała po anglojęzycznej sieci posłużyła strona The Duran, także wymieniana jako kremlowska tuba.
Jedna z największych amerykańskich firm śledzących cyberprzestępstwa – FireEye – łączy atak na Akademię Sztuki Wojennej (a także serię wcześniejszych ataków na portale informacyjne i rządowe) z prorosyjską grupą hakerów, którą ochrzciła kryptonimem „Ghostwriters”.
FireEye prześledziła wymierzone w NATO operacje dezinformacyjne z 2019 i 2020 r. w przestrzeni informacyjnej Europy Środkowo-Wschodniej, wiążąc przynajmniej kilkanaście ataków z działalnością jednej grupy: „Kampania Ghostwriter wykorzystuje tradycyjne działania z katalogu ataków cybernetycznych i taktykę operacji informacyjnych do promowania narracji mających na celu osłabienie spójności NATO i podważenie poparcia dla Sojuszu na Litwie, Łotwie i w Polsce. (…) Do rozpowszechniania treści wykorzystywane są m.in. fałszywe emaile” – piszą w swoim raporcie eksperci FireEye.
FireEye zidentyfikowało siatkę fikcyjnych postaci (personas) – autorów widmo, udających dziennikarzy i analityków, dystrybuujących w sieci fałszywe treści. Stąd nazwa grupy „Ghostwriters”.
Do ataku „Ghostwriters” FireEye zaliczają nie tylko włamanie do ASzWoj, ale też atak na prawicowy portal niezalezna.pl w maju 2020 roku. Hakerzy podszywają się wtedy pod dziennikarkę prorządowej „Gazety Polskiej” Katarzynę Gójską. Pod koniec maja, gdy w Europie trwały ćwiczenia wojskowe Defender, w portalu The Duran pojawiło się tłumaczenie sfabrykowanego wywiadu Gójskiej z amerykańskim generałem Christopherem G. Cavolim, dowódcą amerykańskich sił lądowych w Europie. Teza wywiadu? Polska jest źle przygotowana do ćwiczeń, kraje bałtyckie mają braki w wyposażeniu, a dalszy sojusz z USA stoi pod znakiem zapytania. Publikacje odnoszące się do wywiadu zostały „podłożone” na lokalnych portalach: zary-zagan.pl, regionalna.pl, olsztyn24.com, radioszczecin.pl, ale także w niezalezna.pl, polanddaily.com, telewizjarepublika.pl.
Podobna sytuacja powtórzyła się we wrześniu 2020 roku. Artykuł „Polska i Litwa wzywają do wysłania wojsk na Białoruś” został podłożony w portalu Związku Polaków na Białorusi, znadniemna.pl, w „Poland Daily”, a także na prawy.pl (artykuł wisi tam do dzisiaj). Fake news jest przerobioną kompilacją tekstu ze strony polskiego MSZ oraz tweeta ówczesnego litewskiego szefa dyplomacji Linasa Linkeviciusa o spotkaniu z liderką białoruskiej opozycji Swiatłaną Cichanouską.
Atak zbiegł się w czasie z masowymi protestami białoruskiej opozycji.
Według niezaleznej.pl atak został dokonany z Rygi, stolicy Łotwy. Na atak zareagowało litewskie MSZ: „Po włamaniu do portalu polanddaily.com ukazał się fałszywy artykuł, w którym zarzucono ministrom spraw zagranicznych Litwy i Polski, iż 'za zamkniętymi drzwiami’ dyskutowali o wysłaniu sił pokojowych na Białoruś. Fałszywa informacja została również opublikowana na liveleak.com. Aby zwiększyć jego widoczność, sfałszowany list litewskiego MSZ o rzekomej rozmowie z polskim ministrem został wysłany do redakcji tygodnika 'The New Yorker’ w USA”.
Wszystkie ślady – wątek NATO, relacje polsko-litewskie, fałszywy artykuł, zhakowane portale informacyjne, podszywanie się pod maile – wskazują na sposób działania „Ghostwriters”. Pojawia się jednocześnie „nowy element”: tym razem hakerzy do rozpowszechniania fake newsa wykorzystują przejęte konto twitterowe naczelnego „Gazety Polskiej” Tomasza Sakiewicza, które obserwuje blisko 100 tys. osób.
Kilka dni później dochodzi do udanej próby „złowienia” poselskich skrzynek. Odtąd fałszywe treści zaczynają rozprowadzać po polskich mediach społecznościowych przejęte konta na Twitterze i Facebooku, do których hakerom udało się włamać dzięki skutecznym phishingom.
Haker działa brawurowo
Nasza analiza wskazuje na duże podobieństwo między działaniami „Ghostwriters” z 2019 i 2020 roku a trwającą serią cyberataków na konta polskich polityków. To przede wszystkim zbieżność celów, narracji, ale także technik działania. Atakujący w identyczny sposób rozprowadzają treści w sieci, włamując się na portale niszowych mediów i witryny instytucji lub tworząc fałszywe strony, łudząco podobne do stron publicznych instytucji (jak w przypadku strony litewskiej policji i litewskiego urzędu do spraw energii nuklearnej). Ważnym – i nowym – elementem ataków jest użycie kont polityków w mediach społecznościowych (przejętych wskutek phishingu), które pozwalają na uzyskanie większych zasięgów i rozprowadzenie treści bez pozostawiania śladów, takich jak w przypadku ataku na ASzWoj, gdy fejkowe treści rozprowadzały konta związane z Niezależnym Dziennikiem Politycznym.
Potencjalnie włamania na skrzynki polityków służą również pozyskaniu wrażliwych informacji do przyszłego wykorzystania operacyjnego, czyli na przykład szantaży lub profilowania.
Choć beneficjentem ataków jest Rosja, nie znaczy to, iż ataki są prowadzone bezpośrednio przez rosyjskie służby. Według naszych rozmówców „Ghostwriters” mogą być grupą pośredniczącą. – Zwłaszcza iż atakujący zostawiają dużo śladów. To są brawurowe ataki z użyciem dużych zasobów, ale nieszczególnie wyrafinowane – mówi nasz rozmówca ze służb specjalnych.
Przypomnijmy: wspólnym mianownikiem wszystkich ostatnich ataków jest wątek polsko-litewski. Dezinformacja wymierzona w relacje między dwoma krajami nasiliła się w ostatnich miesiącach – wynika ze wspólnego raportu Fundacji „Info Ops” i litewskiej organizacji Res Publica.
„Rosyjskie operacje dezinformacyjne wymierzone w stosunki polsko-litewskie nie są incydentalne (…). To elementy przemyślanej, wyrafinowanej strategii, której celem jest osiągnięcie długofalowych celów. Analizowane oddzielnie, mogą wydawać się marginalne lub nieistotne” – czytamy w raporcie.
Zapytaliśmy litewskie MSZ i MON o kampanię ataków wymierzonych w relacje polsko-litewskie. „Oceniamy je jako część systematycznych ataków przeciwko zachodnim demokracjom, naszym sojusznikom z NATO oraz stosunkom polsko-litewskim. Celem ataków jest nie tylko rozpowszechnianie fałszywych informacji, ale także sondowanie reakcji władz litewskich i polskich, identyfikowanie ewentualnych słabych punktów” – odpowiedziało MSZ Litwy na pytania Fundacji Reporterów.
Litewskie MON wymienia z kolei, iż w 2020 roku Litwa padła ofiarą przynajmniej dziewięciu takich ataków. „Ich autorzy testują wciąż nowe narzędzia, ale strategia i główne cele pozostają takie same. Operacje informacyjne mają na celu osłabienie więzi transatlantyckich, atomizację społeczeństwa i osłabienie zaufania do demokratycznych rządów. W 2020 roku ataki odbywały się jednocześnie na Litwie i w Polsce. Sprawcy gwałtownie wykorzystywali dezinformację wokół globalnych i lokalnych tematów (pandemia COVID-19, ćwiczenia wojskowe Defender-2020 i protesty na Białorusi)” – pisze MON Litwy.
Haker ma dwa sposoby
Od października 2020 r. polskie media odnotowały kilkanaście ataków z użyciem fałszywych wpisów na przejętych przez hakerów kontach. Ofiarą ataków padło przynajmniej 18 osób (m.in. Włodzimierz Bernacki, Tomasz Sakiewicz, Robert Pietryszyn, Marek Budzisz, a z niewymienionych wcześniej m.in. minister rodziny i polityki społecznej Marlena Maląg i Marek Surmacz, radny sejmiku wojewódzkiego i zastępca szefa GIOŚ).
Ale od naszych źródeł wiemy, iż lista adresów mailowych, które były obiektem kampanii phishingowej, liczona jest w tysiącach. Hakerzy działają na dwa sposoby: albo wykorzystują świeżo złowione konto do ataku dezinformacyjnego, publikując na nim fałszywe treści, albo nie ujawniają się od razu, wyczekując na odpowiedni moment.
Tak było w przypadku ataku na polityka PiS Marka Suskiego, na którego profilu twitterowym znalazły się sugestywne fotografie lokalnej radnej PiS. Z nieoficjalnych informacji wynika, iż prywatny adres mailowy radnej dużo wcześniej pojawiał się na liście zaatakowanych kont. Konto Suskiego na TT było połączone z jego prywatną skrzynką na wp.pl. Czy poseł sejmowej komisji do spraw służb specjalnych przechowywał tam dane wrażliwe?
Prokuratura Rejonowa w Grójcu prowadzi postępowanie w sprawie podszycia się pod Marka Suskiego, utrudnienia dostępu do konta na Twitterze, wprowadzenia nowych danych i usunięcia hasła. „Zawiadomienie o przestępstwie złożone przez Marka Suskiego, jak i dotychczasowe ustalenia poczynione w toku śledztwa nie wskazują na możliwość ujawnienia informacji niejawnych” – informuje nas rzeczniczka Prokuratury Okręgowej w Radomiu Beata Galas.
Po ataku na Suskiego także niektórzy inni posłowie speckomisji odnotowali próby włamań na swoje konta, m.in. Marek Biernacki. – Uważam iż powinniśmy się tym zająć. Jako speckomisja mamy w planach rozmowy o cyberbezpieczeństwie – mówi nam poseł Biernacki.
Zdaniem naszych rozmówców ze służb, zamieszczanie na przejętych kontach w mediach społecznościowych fałszywych wpisów świadczy o tym, iż hakerzy uzyskali już wcześniej od ofiary wszystko, co chcieli. – Mleko się rozlało. A niefrasobliwość polityków, posłów, członków rządu w sprawie bezpieczeństwa cyfrowego jest niepojęta. Liczba wrażliwych informacji na niezabezpieczonych kontach jest żenująca. Te dane, które już mogły zostać przejęte, to może być w niedalekiej perspektywie krytyczny problem – słyszymy od jednego z naszych rozmówców.
Można się spodziewać, iż te już pozyskane „uśpione” skrzynki mailowe mogą być wykorzystane do kolejnych operacji. – Wyobraźmy sobie, iż takie 30-40 zhakowanych teraz kont nagle w kampanii wyborczej robi wielki shitstorm [burzę w mediach społecznościowych – red.] w ostatniej chwili. To już jest wtedy nie do opanowania – mówi nasz rozmówca w służbach.
Z kolei w sytuacji gdyby właściciel zhakowanego konta nie zorientował się, iż doszło do ataku i skrzynka została przejęta (a w ślad za tym być może całe urządzenie) – nic nie stoi na przeszkodzie, by cyberprzestępcy czytali korespondencję i wysyłali wiadomości – w imieniu ministra, posła lub wpływowego analityka. A po wszystkim zacierali ślady, kasując wysłane maile.
Trójgłowy smok (nie) ściga hakera
Kto w Polsce zajmuje się ochroną najważniejszych osób w państwie przed atakami w sieci? W teorii za cyberbezpieczeństwo odpowiada trójgłowy smok w postaci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. NASK (Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy) odpowiada m.in. za nadzór nad samorządami czy uczelniami publicznymi. GOV (prowadzony przez Agencję Bezpieczeństwa Wewnętrznego) odpowiada za ochronę m.in. administracji rządowej czy NBP. Ostatni zaś – MON (prowadzony przez resort obrony) zajmuje się ochroną w cyberprzestrzeni podmiotów podległych resortowi obrony, w tym Służby Kontrwywiadu Wojskowego. Cyberbezpieczeństwem zajmują się także „pozostałości” po resorcie cyfryzacji przeniesione do kancelarii premiera.
A jak to wygląda w praktyce?
– ABW niespecjalnie chce się tym zajmować – kwituje nasze źródło.
– A Służba Kontrwywiadu Wojskowego (podległa MON)? Biorąc pod uwagę, iż w grę wchodzi operacja pośrednio związana ze służbami obcego państwa?
– Hehe. SKW? Please, bez komentarza.
Zapytaliśmy biuro prasowe ABW, czy seria cyberataków na polityków jest elementem kampanii dezinformacyjnej. Kto i w jaki sposób reaguje, gdy okazuje się, iż członek rządu padł ofiarą ataku hakerskiego i przejęte zostało jego konto w social mediach albo mail?
„Agencja Bezpieczeństwa Wewnętrznego nie komentuje sprawy” – odpisał nam zespół prasowy ABW. O rozmowę na temat cyberbezpieczeństwa poprosiliśmy rzecznika koordynatora służb specjalnych Stanisława Żaryna, publikującego na stronach rządowych analizy dotyczące dezinformacji. Do momentu publikacji nie odpisał jednak na naszego maila.
Na pytanie, czy prokuratura prowadzi postępowania z zawiadomienia ABW lub innych służb dotyczące cyberataków na polityków, warszawska prokuratura odpowiedziała krótko: „Nie ustalono postępowań spełniających kryterium zapytania”.
Podobne pytania wysłaliśmy do kancelarii premiera. „W ciągu 12 miesięcy zaobserwowano kilkadziesiąt ataków na prywatne konta poczty elektronicznej oraz prywatne konta w serwisach społecznościowych wykorzystywane przez osoby publiczne. Dokładna skala tych ataków nie jest znana, gdyż nie wszystkie z nich zostały zgłoszone przez osoby, które były ich celem” – odpowiedział nam Wydział Promocji Polityki Cyfrowej Kancelarii Prezesa Rady Ministrów. „Postępowania w przypadku zgłoszonych przez osoby poszkodowane ataków prowadzone są przez organy ścigania – prokuraturę i policję. KPRM nie posiada potwierdzonych informacji o źródłach ataków na polityków”.
Według naszych rozmówców, tak duża i długofalowa operacja powinna zostać uznana za tzw. incydent krytyczny. Jednak mimo kilku spotkań ABW, KPRM i RCB [Rządowe Centrum Bezpieczeństwa] nie potraktowano jej na tyle poważnie.
Zamiast tego pełnomocnik rządu do spraw cyberbezpieczeństwa Marek Zagórski (były minister zlikwidowanego resortu cyfryzacji) wysłał w listopadzie 2020 roku pismo do marszałek Sejmu adresowane do klubów parlamentarnych o uruchomieniu skrzynki mailowej do obsługi zgłoszeń o atakach phishingowych. KPRM przygotowała też dla posłów kolorową broszurę o tym, jak bezpiecznie korzystać z internetu.
JAK SIĘ CHRONIĆ PRZED CYBERATAKAMI – PORADNIK
Haker napastuje kobiety
Zapytaliśmy kilku posłów o te materiały – żaden z naszych rozmówców nie zwrócił na nie uwagi.
– Posłowie mają to gdzieś. Ile było dyskusji o bezpieczeństwie urządzeń, z których logują się na zdalne posiedzenia Sejmu… Na cyberbezpieczeństwo posłów nie ma przełożenia nikt. To jest dramat i sekwencja facepalmów – opowiada rozmówca mający do czynienia z tą tematyką.
Kancelaria Sejmu przekonuje, iż organizuje szkolenia z cyberbezpieczeństwa – zwolnieni są z nich jednak ci, którzy w sejmowych ławach zasiadają od lat.
Informatycy z Kancelarii Sejmu mają zdalną kontrolę nad służbowymi tabletami, które otrzymują posłowie – mogą aktualizować oprogramowanie i wysyłać alerty bezpośrednio do posłów. „Kancelaria nie bierze natomiast udziału w działaniach posłów, związanych z ich kontami w mediach społecznościowych. Posłowie robią to samodzielnie i na własną odpowiedzialność” – podkreśla Centrum Informacyjne Sejmu.
17 listopada 2020 roku, czyli dwa dni przed widowiskowym atakiem na posła Duszka, Janusz Korwin-Mikke wraz z trzema innymi posłami Konfederacji (Krzysztofem Tudujem, Krzysztofem Bosakiem i Michałem Urbaniakiem) wysyłają interpelację w sprawie ataków na skrzynki posłów i wspominają o otrzymaniu „kilkunastu tysięcy niechcianych wiadomości i interakcji z liczbą kilkuset, może kilku tysięcy fałszywych kont internetowych i podmiotów trzecich, jak firmy i instytucje”.
Janusz Korwin-Mikke, jeden z liderów Konfederacji, od lat bryluje w prorosyjskich mediach, takich jak Sputnik, i publicznie wypowiada się zgodnie z narracją Kremla. W 2014 roku mówił w RIA Nowosti, iż „aneksja Krymu to rzecz zupełnie naturalna” i przekonywał, iż Polska powinna ją uznać. Kilkanaście miesięcy później poleciał przez Moskwę na Krym.
Gdzie posłowie Konfederacji szukają źródeł operacji? Autorzy interpelacji pytają o związki między atakami na ich skrzynki a hasłem „to jest wojna”, pojawiającym się na protestach kobiet przeciw wyrokowi Trybunału Konstytucyjnego w sprawie aborcji.
„Czy organy odpowiedzialne za bezpieczeństwo państwa oraz ochronę porządku publicznego i ochronę polskich parlamentarzystów badają lub zbadają sprawę tego ataku pod kątem próby destabilizacji sytuacji politycznej w Polsce i próby destabilizacji porządku konstytucyjnego, m.in. wobec regularnie głoszonego hasła 'to jest wojna’?” – pytają przedstawiciele Konfederacji.
Autor interpelacji nie odpowiedział na naszą prośbę o rozmowę.
Dwa tygodnie wcześniej wulgaryzmy pod adresem strajkujących kobiet sypały się ze zhakowanego i przejętego konta posłanki Borowiak na Twitterze.
Poseł Koalicji Obywatelskiej Jan Grabiec, przewodniczący sejmowej komisji cyfryzacji, innowacyjności i nowych technologii mówi, iż niedługo po pierwszych atakach phishingowych parlamentarzyści dostali na służbowe tablety powiadomienia, żeby zachować ostrożność w trakcie korzystania z sieci. Czy spotkał się z folderami szkoleniowymi?
– Klub Koalicji Obywatelskiej rozesłał do posłów informację o procedurach obrony przed cyberatakami – informuje poseł, choć w pierwszej chwili nie jest w stanie sobie przypomnieć żadnych folderów czy broszur. Gdy pytamy, czy będzie autoryzował wypowiedzi, prosi, by przesłać je na maila… prywatnego. Tłumaczy, iż ze służbowego nie sposób korzystać – przepełniony jest spamem.
***
Pierwsza wersja raportu Fundacji Reporterów, w języku angielskim, została opublikowana na portalu vsquare.org 30 marca. Dzień po tej publikacji niemiecki program informacyjny Tagesschau ujawnił wyniki badań ekspertów ds. cyberbezpieczeństwa z grupy Mandiant. Z ich ustaleń wynika, iż w ramach tej samej akcji hakerów z „Ghostwriters”, wymierzonej w polskich polityków, zainfekowane wiadomości trafiały również do polityków z niemieckiego i ukraińskiego parlamentu”.
Świetny analityczny artykuł pokazujący nie tylko szeroki pryzmat zainteresowania hakera lub czego nie można wykluczyć -grupy hakerów ale też jeden z najważniejszych elementów dywersji psychologicznej – ataki nie mają żadnych „barw” politycznych !
13.06.2021.
Anna Gielewska.
Rząd zhakowany. “Siedzieliśmy na tykającej bombie. Właśnie wybuchła” (oko.press)
Mimo ostrzeżeń służb rząd zlekceważył zagrożenie atakami informatycznymi. Tymczasem hakerzy przez kilka miesięcy mogli mieć dostęp do skrzynki mailowej ministra Michała Dworczyka. Jego adres trafił na listę zaatakowanych kont już w styczniu. Tylko 1 na 300 czytających ten artykuł wspiera OKO finansowo. Wyobraź sobie co moglibyśmy osiągnąć, gdyby było nas 10 x więcej…
“Siedzieliśmy na tykającej bombie i ona właśnie wybuchła” – mówi jeden z naszych rozmówców ze służb.
Ostatni atak może być kolejną odsłoną olbrzymiej operacji dezinformacyjnej prowadzonej w interesie Rosji – zawiera jednak zupełnie nowe elementy niż poprzednie ataki, wymierzone w członków rządu i polityków PiS.
Hakerski atak na członka rządu to poważna sprawa. W każdym kraju członkowskim NATO taka akcja stawia na nogi służby cywilne i wojskowe, uruchamiane są procedury, które mają uchronić cały rząd przed dalszym wyciekiem informacji. Ale między 4 a 8 czerwca, gdy w Polsce rusza wielka operacja dezinformacyjna, a w komunikatorze Telegram pojawiają się dokumenty wykradzione z maila ministra Dworczyka, nie wiedzą o tym ani służby, ani sam bohater akcji – szef KPRM.
Tekst dziennikarzy Fundacji Reporterów.
Poufna Rozmowa
Piątek, 4 czerwca 2021 roku, 14:24. Na Telegramie – komunikatorze popularnym w krajach rosyjskojęzycznych – pojawia się tajemniczy wpis. „Wyciek informacji od Szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka” – pisze użytkownik Poufna Rozmowa.
Nie wiadomo, kim jest – ukrywa się za dziwacznym avatarem, fotografią dwóch psów w kołnierzach ochronnych. To samo zdjęcie można znaleźć w sieci m.in. na blogach i portalach poświęconych czworonogom.
Minutę później to samo konto udostępnia plik z wykazem polskich służb uprawnionych do szczepień przeciwko COVID-19. A w nim: dane kontaktowe do koordynatorów szczepień, m.in. z Agencji Bezpieczeństwa Wewnętrznego, Służb Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.
Od tej chwili Poufna Rozmowa codziennie wrzucać będzie kolejne porcje dokumentów „reklamowanych” jako wykradzione z konta Dworczyka: wstępnych projektów ustaw oraz rządowych i wojskowych opracowań, a także screenów maili. Wszystko podane w sensacyjnym tonie – z emotikonami – ognikami i wybuchami i podkręcającymi emocje komentarzami.
Wpisy zamieszczane są w języku polskim, jednak można zauważyć kilka błędów gramatycznych – np. w jednym z wpisów pada sformułowanie: „Prawdziwy powód poparcia opozycji na Białorusi od Szefa Kancelarii”. To konstrukcja typowa dla języka rosyjskiego – zgodnie z polską gramatyką, zamiast „od” autor powinien napisać „przez”. W innym z wpisów pojawia się z kolei sformułowanie “tak rząd dba o Polakach” (zamiast Polaków). To może być poszlaka, choć jeszcze nie dowód, iż za akcją stoją rosyjskojęzyczni hakerzy.
Przez cztery dni informacja o tym, iż na kanale Telegram ktoś publikuje dokumenty rzekomo pochodzące z maila ministra Dworczyka, nie wydostaje się poza wąskie grono obserwujących kanał (dziś ma już ponad 1,7 tys. subskrybentów).
Wieczorem 8 czerwca na facebookowym koncie Agnieszki Dworczyk, żony ministra, pojawia się wpis o przejętym koncie jej męża. „Sprawcami zostały skradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi (oryginalna pisownia)” – czytamy w usuniętym już poście.
Wtedy operacja dezinformacyjna nabiera tempa. Fałszywy wpis z przejętego przez hakerów konta Agnieszki Dworczyk linkuje do dokumentów w kanale Poufna Rozmowa na Telegramie. Ma przyciągnąć uwagę i uwiarygadniać pliki, które się tam pojawią.
Sprawdziliśmy, w jaki sposób sfabrykowany wpis z przejętego konta Agnieszki Dworczyk rozchodził się w mediach społecznościowych. Okazuje się, iż był to ruch wygenerowany w dużej mierze przez autentycznych użytkowników.
Pierwszy artykuł o „wycieku tajnych dokumentów” pojawił się 8 czerwca na stronie internetowej PolitycznaPolska.info. Strona publikuje treści w sensacyjnym tonie, z rejestru domen wynika, iż została założona w styczniu 2020 roku przez Rafała Smagę. Smaga w rozmowie z nami wyjaśnia, iż informację o włamaniu na konto Dworczyka jego portal zaczerpnął z Twittera, a ściślej – z konta Mirosława Szczerby, byłego rzecznika prezydenta Lecha Wałęsy. Szczerba rzeczywiście udostępnił wcześniej informację o wpisie na FB Agnieszki Dworczyk.
Smaga udostępnia tekst na PolitycznaPolska.info w kilku grupach na FB, gromadzących przeciwników PiS (narzędzie Crowdtangle do badania ruchu w internecie wskazuje, iż to łącznie ponad 100 tys. użytkowników), w grupach w rodzaju Sympatycy Szkła Kontaktowego czy Ruch Ośmiu Gwiazd.
Z kolei na Twitterze ruch wokół wycieku początkowo usiłuje wprowadzić usunięte już anonimowe konto, następnie generują go już autentyczni użytkownicy. Grafikę z postem ze zhakowanego konta żony Dworczyka udostępnia np. konto o nazwie Marcin Koszela. Jego właściciel w rozmowie z nami wyjaśnia, iż sam zrobił taką grafikę.
Późnym wieczorem 8 czerwca Onet podaje, iż doszło do włamania na skrzynkę mailową szefa KPRM i wycieku dokumentów. W mediach rozpętuje się burza.
Co wiadomo o dokumentach?
Interesujące są metadane plików, które trafiły na kanał na rosyjskim Telegramie i od których zaczęła się operacja. Metadane to m.in. zaszyte w każdym pliku elektronicznym informacje o tym, kto i kiedy go utworzył.
Jeden z dokumentów – utworzony przez DOSR KPRM [Departament Oceny Skutków Regulacji w rządzie- red.] – modyfikowany był przez użytkownika o nazwie „blackmail” 3 listopada 2020 – w tym samym momencie, kiedy utworzono plik.
Z kolei CV szefa Rządowego Centrum Bezpieczeństwa płk Konrada Korpowskiego, które trafiło na Telegram, modyfikowane było przez użytkownika o nazwie „Montik!” 2 lutego 2021 roku.
To może oznaczać, że
- hakerzy mogli mieć wgląd w korespondencję ministra Dworczyka przez dłuższy czas (kilka miesięcy),
- część z dokumentów pochodzi z innego ataku lub ataków na konta Dworczyka (o tym, iż jego email pojawiał się już wcześniej w kilku poważnych wyciekach, pisał portal niebezpiecznik.pl),
- dokumenty mogą pochodzić z innego źródła.
We adekwatnościach pliku z CV, słowo „nazwa” wyświetla się po rosyjsku.
O rosyjskich śladach w metadanych dokumentów jako pierwszy pisał białoruski kanał NEXTA. „Metadane wskazują na edycję przez obcojęzycznych użytkowników w rosyjskiej aplikacji. (…) Ciekawostką jest to, iż w metadanych opublikowanych plików znalazły się rosyjskie symbole”.
Hipotetycznie ktoś mógł celowo edytować je tak, by sugerowały udział rosyjskojęzycznych użytkowników.
Jeden z dokumentów – wstępny projekt ustawy o rezerwach strategicznych – różni się jedynie drobnymi poprawkami od finalnie złożonego w trakcie procesu legislacyjnego. Projekt ustawy trafił do Sejmu 9 grudnia 2020, natomiast wersja dokumentu, który wyciekł na Telegram, datowana jest na 19 października 2020. Projekt ustawy pilotował Michał Dworczyk.
Do chwili naszej publikacji Centrum Informacyjne Rządu (CIR) nie potwierdziło ani nie zaprzeczyło, iż ujawnione dokumenty pochodziły ze skrzynki mailowej Dworczyka. CIR nie odpowiedział też na nasze pytania o ich autentyczność.
Sam Dworczyk późnym popołudniem, w piątek 11 czerwca, wydał oświadczenie. Pisze w nim, iż „część z ujawnionych informacji i rzekomych maili została spreparowana”. Minister przekonuje, iż „odnoszenie się do poszczególnych wiadomości zamieszczanych na rosyjskiej platformie Telegram jest poważnym błędem, bo należy założyć, iż celem prowadzonych wrogich działań jest m.in. zaangażowanie adresatów bądź nadawców wykradzionych informacji do potwierdzania lub zaprzeczania ich prawdziwości”.
Notatka służb na Berdyczów
Według naszych źródeł w służbach, prywatna skrzynka mailowa Dworczyka na portalu Wirtualna Polska znajdowała się na liście celów kampanii ataków phishingowych już w styczniu 2021.
Kulisy tej szeroko zakrojonej kampanii opisaliśmy w kwietniu na łamach TVN24.pl, a w wersji angielskiej – na portalu vsquare.org. Ujawniliśmy, iż grupa hakerów mogła zdobyć olbrzymie ilości wrażliwych danych od kluczowych osób w państwie, a także posłów, analityków i dziennikarzy. Większość e-maili, które były celem ataków phishingowych, to skrzynki prywatne, głównie w domenach Wirtualnej Polski, ale także Interii i Onetu.
Nasi rozmówcy ze służb już wtedy bili na alarm: “Niefrasobliwość polityków, posłów, członków rządu w sprawie bezpieczeństwa cyfrowego jest niepojęta. Ilość wrażliwych informacji na niezabezpieczonych kontach jest żenująca. Te dane, które już mogły zostać przejęte, to może być w niedalekiej perspektywie krytyczny problem”.
Wykorzystanie danych kolejnych polityków było kwestią czasu.
W grudniu zebrał się w tej sprawie Zespół ds. Incydentów Krytycznych (stworzony przez RCB, Rządowe Centrum Bezpieczeństwa, komórkę odpowiedzialną za analizę zagrożeń i zarządzanie kryzysowe). Płk Konrad Koprowski, szef RCB, miał pytać wtedy przedstawicieli zespołu, czy hakerską operację uznać za incydent krytyczny. Jak wynika z naszych nieoficjalnych informacji, Służba Kontrwywiadu Wojskowego, a w ślad za nią pozostali członkowie zespołu uznali jednak, iż nie ma takiej potrzeby.
Jak na ironię dziś CV płk. Koprowskiego z informacją o jego poświadczeniach bezpieczeństwa wisi na kanale Telegram (przypomnijmy – to w metadanych tego pliku są rosyjskojęzyczne ślady).
Mimo to, w styczniu KPRM opublikował internetowy poradnik dla posłów – jak chronić się przed podobnymi atakami. To kolorowa, 22 stronicowa broszura,w której omawiane są zasady bezpieczeństwa w Internecie. “Zrobili poradnik, ale w żaden sposób nie są w stanie wprowadzić w tej sprawie dyscypliny w rządzie, a tym bardziej w parlamencie czy u niższych rangą działaczy PiS” – wzdycha jeden z naszych rozmówców ze służb.
Jak ustaliliśmy na początku marca 2021 roku powstaje klauzulowana notatka podpisana przez CSiRT-y (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego MON, NASK i GOV). Zawiera ustalenia służb dotyczące hakerskich ataków prowadzonych przez grupę realizującą rosyjskie cele. Do notatki dołączony jest plan działań, m.in. wybór CERT ABW jako koordynującego działania w tej sprawie, a także propozycja „konsolidacji zgłoszonych przypadków krajowych na poziomie jednej śledczej jednostki prowadzącej”. Notatka mówi także o „organizacji procedury weryfikacji urządzeń, co do których istnieją podejrzenia, iż są skompromitowane”.
Ale w ślad za notatką nie idą żadne działania. Pełnomocnik rządu ds. cyberbezpieczeństwa nie podejmuje żadnych nowych decyzji. Nikt nie wprowadza planu działań w życie. “KPRM zlekceważyła sprawę, priorytetem było dla nich co najwyżej odzyskiwanie zhakowanych kont” – mówią nasi rozmówcy.
Do tej pory nie wiadomo, kto ze strony administracji rządowej ma koordynować działania w sprawie operacji dezinformacyjnej z użyciem zhakowanych maili.
Być może dlatego, gdy informacja o ataku na skrzynkę Dworczyka i wycieku dokumentów pojawia się mediach we wtorek 8 czerwca, przez kilka godzin rząd nie wydaje w tej sprawie żadnego komunikatu. Dopiero kilkadziesiąt minut po północy Dworczyk publikuje na Twitterze pierwsze oświadczenie.
Chwilę przed południem 9 czerwca Stanisław Żaryn, rzecznik koordynatora służb specjalnych i główny rządowy komentator w dziedzinie rosyjskiej dezinformacji,pisze na Twitterze: „W związku oświadczeniem Pana Ministra Michała Dworczyka wydanym we wtorek informuję, iż służby specjalne analizują wydarzenia opisane przez Pana Ministra w ww. oświadczeniu. Zgłoszenie w tej sprawie wpłynęło do #ABW w dniu wczorajszym”.
Czy to oznacza, iż służby oraz sam Dworczyk dopiero kilkanaście godzin po fałszywym wpisie na koncie żony ministra zaczęli badać sprawę? Czy gdy 4 czerwca na kanale Poufna Rozmowa pojawiły się pierwsze dokumenty mogące pochodzić z prywatnego maila Michała Dworczyka służby nic o tym nie wiedziały? Stanisław Żaryn, rzecznik prasowy koordynatora służb specjalnych, nie odpowiedział na nasze pytania.
Gdy pytamy KPRM, czy atak na konto ministra został uznany za incydent krytyczny, kancelaria odsyła nas do… komunikatu Dworczyka z Twittera. Minister Dworczyk nie odpowiedział na naszą prośbę o rozmowę.
Hakerzy sięgają po nowe narzędzia
Najnowszy atak hakerski do pewnego stopnia przypomina poprzednie wymierzone w członków rządu i polityków PiS. Kulisy wielomiesięcznej i szeroko zakrojonej operacji hakerów – za którą według naszych ustaleń może stać realizująca rosyjskie cele grupa Ghostwriters, działająca w Europie – opisywaliśmy w portalu TVN24.pl.
Gdzie tkwią podobieństwa? Po pierwsze do ataku na ministra Dworczyka ponownie wykorzystano prywatne skrzynki pocztowe w portalu wp.pl. Po drugie, celem ataku byli jednocześnie członkowie rodziny polityka. Hakerzy wykorzystali do dezinformacji przejęte konta w mediach społecznościowych.
Gdy haker je pozna ma już otwartą drogę do przejęcia skrzynki mailowej. A z dostępem do maila łatwo mu wedrzeć się na czyjś profil na Facebooku lub Twitterze. Przejęte w ten sposób konta wykorzystywane są następnie w atakach dezinformacyjnych.
Podobny schemat miały ataki na marszałek Elżbietę Witek, posła Marka Suskiego czy minister Marlenę Maląg. W poprzednich atakach wspólnym mianownikiem była narracja uderzająca w relacje polsko-litewskie.
Ostatni atak na Dworczyka zawiera jednak zupełnie nowe elementy. Po raz pierwszy w ataku na polskiego polityka został użyty kanał na Telegramie. “Administrator grupy na Telegramie jest trudny do namierzenia, a sam Telegram jest bardzo popularny w rosyjskojęzycznych krajach” – podkreśla w rozmowie z Fundacją Reporterów Michael Colborne z Bellingcata, międzynarodowej grupy dziennikarzy śledczych i ekspertów OSINT (open source intelligence techniques), która ujawniła m.in. sprawców zamachu na Aleksieja Nawalnego.
Ze względu na trudności z namierzeniem użytkowników, z komunikatora korzysta wielu rosyjskich i białoruskich opozycjonistów. Ale stał się on też popularny w innych krajach.
Atak na Dworczyka, inaczej niż poprzednie, nie jest jednorazowy – tym razem to wielodniowa operacja, w której co kilka-kilkanaście godzin pojawiają się nowe dokumenty i sensacyjne zapowiedzi kolejnych partii przecieku. Według portalu Cyberdefence24 taki zabieg może być przynętą – celem ataku mogą być także dziennikarze i politycy, ściągający w nieostrożny sposób dokumenty Dworczyka z Telegrama. Nie ma jednak na razie dowodu, iż pliki rzeczywiście zawierają niebezpieczne oprogramowanie.
W najnowszej kampanii dezinformacyjnej nowy jest też kontekst i temat – tym razem nieznani hakerzy skupiają się na relacjach polsko-białoruskich i to wokół nich skupione są wpisy i dokumenty udostępniane na Telegramie. Głównym celem dotychczasowych ataków były relacje polsko-litewskie, wcześniej stosunki polsko-ukraińskie. Stałym elementem dezinformacyjnych narracji jest podkopywanie sojuszu Polska-USA, relacji z NATO i Unią Europejską.
Operacje manipulacyjne zbiegają się często z ważnymi wydarzeniami politycznymi. Fałszywa informacja o radioaktywnej chmurze znad Litwy z marca 2021 – element kampanii Ghostwriters – zbiegała się w czasie z rozmowami rządów Polski i Francji o budowie w Polsce elektrowni atomowej.
Dezinformacja wokół Białorusi
Dzisiaj – gdy konflikt na linii Polska-Białoruś (wspierana przez Putina) eskaluje – hakerzy mogą go podsycać, uderzając w polityka, który był zaangażowany w pomoc białoruskiej opozycji. Paweł Łatuszka, jeden z liderów białoruskiej opozycji uważa, iż tak jest właśnie w sprawie Dworczyka.
Jak wynika z analizy Fundacji Reporterów, to przede wszystkim treści wymierzone w białoruskich opozycjonistów. Największe natężenie dezinformacji można było zaobserwować po uwięzieniu Romana Protasewicza. Anonimowe konta na TT powielały wówczas np. narrację o drogim apartamencie, jaki Protasewicz miał wynajmować w Warszawie. Pisały też, iż był członkiem ukraińskiego pułku Azowa. Konta używały fejkowych fotografii, jedno z nich linkowało często do polskiej edycji Sputnika, jednego z głównych narzędzi kremlowskiej propagandy.
Także w sprawie Dworczyka wiele wskazuje na to, iż ktoś celowo chce zaognić stosunki polsko- białoruskie, choć na tę chwilę nie można przesądzić, czy to jedyne podłoże tej sprawy.
MB pisze do ministra
Jeden z najnowszych wpisów na kanale w serwisie Telegram, który pojawił się w piątek 11 czerwca to zrzut ekranu z rzekomej korespondencji mailowej pomiędzy Michałem Dworczykiem, premierem Morawieckim i kimś o inicjałach MB.
28 marca 2021 roku Dworczyk przekazuje Morawieckiemu mail, który dostał od MB – w nim złośliwe żarty na temat Joanny Kluzik-Rostkowskiej, polityczki Koalicji Obywatelskiej, która miała zwrócić się do MB z prośbą o pomoc w przygotowaniu tekstu na konferencję.
W mailu, premier pyta: “do kogo?”, Michał Dworczyk zaś miał wyjaśniać, iż chodzi o kolegę – „były dyplomata służący ojczyźnie na drugim etacie, potem pracownik fundacji, dziś znów w służbie RP”.
Sama Kluzik-Rostkowska, komentując sprawę na Twitterze, wrzuca zrzut ekranu wiadomości wysłanej do Marka Bućko (MB). “Nie miałam z nim kontaktu od kilkunastu lat, napisałam do niego na messengerze przed konferencją na temat Białorusi, bo szukałam kogoś, kto mógłby przetłumaczyć tweeta o konferencji na język białoruski. Nigdy nie odpowiedział na tę moją wiadomość” – mówi nam posłanka KO.
Marek Bućko, w latach 2000-2005 zajmował wysokie stanowisko radcy ambasady Polski w Białorusi, czyli adekwatnie zastępcy ambasadora. Zajmował się kontaktami z partiami politycznymi, opozycją i organizacjami mniejszości narodowych. Z Białorusi Bućko wyjeżdżał w maju 2005 roku jako persona non grata. Później, przez 10 lat, do 2016 roku, był szefem portalu Kresy24.pl. Działał też, razem z Michałem Dworczykiem, w fundacji Wolność i Demokracja, pomagającej Polakom na Wschodzie.
Nie chce komentować sprawy wycieku, nie potwierdza również, iż jest autorem maila, który trafił na Telegram. Obiecuje, iż gdy zapozna się szczegółowo z treścią maila odpowie na dodatkowe pytania – po czym przestaje odpowiadać na próby kontaktu.
Wątpliwości co do wiarygodności maila budzi godzina, o której ostatniego maila w opublikowanym przez hakerów wątku wysłać miał Mateusz Morawiecki. Wedle zrzutu ekranu z kanału na Telegramie, premier odpowiedział o 21:05 na maila z godziny… 22:24.
Portal Niebezpiecznik.pl tak tłumaczy tę zagadkę: „Czy to przeoczenie? Błąd kogoś, kto preparował wiadomość i zarazem dowód na dezinformację? Być może… Ale różnica w czasach może też wynikać po prostu z innej strefy czasowej, w której przebywał: a) albo oglądający e-maila i robiący mu screenshota, b) albo sam premier, bo to w treści jego e-mail pojawia się cytat z “przyszłą” godziną, która dla niego mogła być godziną aktualną”.
Centrum Informacyjne Rządu nie odpowiedziało na nasze pytanie, czy premier korzysta z prywatnego maila, który pojawił się w korespondencji udostępnionej przez hakerów. Przede wszystkim potwierdził się szeroki pryzmat tematów .
Współpraca Julia Dauksza, Fundacja Reporterów
Sporo ważnych informacji w tym informacja o mnie , wynikło wtedy z tego bogato ilustrowanego artykułu ale jeszcze w tym momencie o nich nie napiszę .
20.07.2021.
Anna Gielewska . Julia Dauksza.
Afera mailowa rządu PiS. Ghostwriter, APT28, Fancy Bear, Sand Warm. Kto może stać za atakiem na pocztę Michała Dworczyka – TVN24 / Fragmenty artykułu /
Kto stoi za największą operacją cyberszpiegowską w Polsce? Afera mailowa rządu PiS jest wykorzystywana głównie przez białoruski reżim, ale kampania „Ghostwriter” realizuje cele rosyjskie. Pewne ślady działań grupy, która uzyskała dostęp do poczty Michała Dworczyka oraz innych kont, przypominają elementy ataków grup związanych z rosyjskim GRU, takich jak Fancy Bear – wynika z analizy dziennikarzy Fundacji Reporterów, przygotowanej dla tvn24.pl.
Jak działa grupa widmo
Andrzej Kwinto-Yang to działacz PiS i członek Rady Programowej TVP Szczecin. 29 kwietnia na jego facebookowym koncie ukazuje się wpis o treści: „PiSowski Mordor na czele z Kaczyńskim przekroczył wszelkie możliwe granice (…) PiS nie ma pieniędzy na programy społeczne, ale wydaje gigantyczne pieniędzy na utworzenie tzw 'Fundacji dyplomacji międzynarodowej’ która będzie organizowała i wspierała działalność lidera białoruskiej opozycji Swietłany Ciechanouskiej i Rady Koordynacyjnej, których już nie popiera choćby naród Białorusi” (pisownia oryginalna). Ilustruje go zdjęcie wydrukowanego szkicu budżetu takiej organizacji, rzekomo pochodzącego od Karola Kotowicza, współpracownika Dworczyka w KPRM.
20 minut później zrzut ekranu z wpisem Kwinto-Yanga (a raczej zalogowanej na jego koncie osoby) powiela twitterowe konto Agnieszki Kamińskiej, prezes Polskiego Radia, z komentarzem: „Wsparcie i finansowanie zagranicznych rewolucjonistów i prowokatorów tylko podsyca wewnętrzne ruchy protestacyjne w samej Polsce. W obecnej sytuacji najkorzystniejszym rozwiązaniem problemu byłaby ekstradycja białoruskich ekstremistów…”.
Tweety nie zyskują dużego zasięgu (konto prezes radia nie jest publiczne), a Polskie Radio informuje o zhakowaniu mediów społecznościowych Kamińskiej. Jej prywatny adres mailowy był jednym z wielu kont, wobec których prowadzone były działania phishingowe przypisywane kampanii Ghostwriter.
Wydruk to fragment oryginalnej korespondencji z udziałem Kotowicza i Dworczyka. Kotowicz miał otrzymać szkic budżetu fundacji od jednego z białoruskich opozycjonistów i przesłać go Dworczykowi. Po publikacji dokumentu na koncie Kamińskiej 30 kwietnia, Kotowicz zgłasza sprawę do CERT-ów ABW, MON i NASK (każdy z tych zespołów jest odpowiedzialny za reagowanie na incydenty bezpieczeństwa komputerowego)
Inaczej niż w poprzednich atakach przypisywanych kampanii Ghostwriter, w których sfabrykowane treści były rozprowadzane w sieci za pośrednictwem np. zhakowanych portali informacyjnych, screeny sfabrykowanych wpisów „Kamińskiej” trafiły na wówczas szerzej nieznany rosyjskojęzyczny kanał na Telegramie, od lutego br. publikujący notatki oparte na dokumentach uzyskanych w wyniku ataku na skrzynkę Dworczyka (bez podania źródła). Jego istnienie ujawnił Robert Zieliński w tvn24.pl 16 czerwca – kilka dni po wybuchu afery mailowej.
Kanał jest skierowany zwłaszcza do białoruskich odbiorców – pojawiały się na nim na przykład ironiczne odniesienia do piosenek zespołu Maszyna Wriemieni, którego lider Andriej Makarewicz popierał protestujących. Działacz PiS Kwinto-Yang został przedstawiony białoruskim odbiorcom jako „poseł polskiego Sejmu”.
Na materiały opublikowane w rosyjskojęzycznym kanale – w tym zrzuty ekranu korespondencji Dworczyka – powołuje się rządowa telewizja białoruska. Uwiarygadnia nimi narrację o tym, iż protesty przeciwko wynikom wyborów prezydenckich były inspirowane i finansowane z Polski.
Zapytaliśmy rzecznika prasowego ministra koordynatora służb specjalnych Stanisława Żaryna o zawiadomienie złożone przez Kotowicza oraz o to, co ABW zrobiła między końcem kwietnia a 8 czerwca, gdy wybuchła afera. „Nie wiem, czy ten pan coś składał czy nie” – odpisał SMS-em Stanisław Żaryn, po czym poprosił o pytania mailem. Odpowiedzi nie dostaliśmy.
Na celowniku: Polska, Litwa, Niemcy
W wyniku śledztwa dziennikarzy Fundacji Reporterów, którego efekty pojawiły się pod koniec marca na vsquare.org, a na początku kwietnia w tvn24.pl, udało się po raz pierwszy powiązać wielomiesięczną kampanię ataków hakerskich na polskich polityków z cyberszpiegowską operacją uderzającą w NATO, opisaną latem 2020 r. przez analityków zajmującej się cyberbezpieczeństwem firmy Mandiant. Jej elementy już w maju 2020 r. opisali też badacze Uniwersytetu Stanforda.
Niespełna miesiąc po publikacji naszej analizy, po serii cyberataków na posłów Bundestagu, Mandiant opublikowała drugi raport, zbieżny z naszymi ustaleniami. Raport zawiera także nowe ustalenia dotyczące operacji. Analitycy firmy przypisują kampanię „Ghostwriter” grupie cyberszpiegowskiej UNC1151, działającej na zlecenie obcego państwa, która zajmuje się wyłudzaniem danych logowania i atakami z udziałem złośliwego oprogramowania.
Według ekspertów, niezidentyfikowana grupa już od marca 2017 r. prowadziła w Europie kampanię dezinformacyjną w interesie Rosji, ochrzczoną kryptonimem „Ghostwriter” (z ang. autor widmo). Nazwa wzięła się od schematu powtarzającego się w większości ataków: nieznani sprawcy włamywali się na strony mediów – na przykład wykradając dane logowania – lub fałszowali maile instytucji państwowych, by rozpowszechniać i uwiarygadniać fake newsy autorstwa fikcyjnych person. Do działań tej grupy Mandiant zaliczył m.in. atak na stronę Akademii Sztuki Wojennej z kwietnia 2020 r. Umieszczono na niej wówczas sfabrykowany list rektora, wzywający do buntu przeciwko współpracy z NATO (do tego jeszcze wrócimy).
Co jeszcze wiadomo o poprzednich atakach: – na profilach społecznościowych Tomasza Sakiewicza, polityków: Joanny Borowiak, Marcina Duszka, Andrzeja Melaka, Arkadiusza Czartoryskiego zostały opublikowane antynatowskie fake newsy; – kompromitujące i podburzające treści opublikowano na profilach: Marleny Maląg, Iwony Michałek, Magdaleny Sroki, Marka Surmacza, Roberta Pietryszyna, a także – co przyciągnęło uwagę – na kontach Marka Suskiego i radnej Ewy Szarzyńskiej; – ostatnie incydenty, które opisywaliśmy pod koniec kwietnia, były złożonymi operacjami: konta senatorów i strona poselska Elżbiety Witek zostały wykorzystane do próby wywołania afery obyczajowej uderzającej w litewskich polityków, opartej o spreparowane zrzuty ekranu z portalu randkowego, zaś zhakowane konto eksperta ds. Rosji Marka Budzisza promowało na Twitterze zhakowane strony Państwowej Agencji Atomistyki i Ministerstwa Zdrowia, kolportujące fałszywą informację o incydencie nuklearnym; – choć do końca marca w atakach dominowała narracja wymierzona w relacje polsko-litewskie, już w pierwszym ataku z serii (wrzesień 2020) pojawił się także wątek Białorusi – włamywacz opublikował wówczas na koncie Tomasza Sakiewicza fałszywy artykuł (umieszczony na zhakowanym portalu Związku Polaków na Białorusi) o tym, iż Polska i Litwa domagają się wysłania wojsk NATO na Białoruś.
Ostatnie akcje przypisywane kampanii „Ghostwriter” zawierają kolejne nowe elementy.
W tym samym czasie, co atak z użyciem konta twitterowego Kamińskiej i kanału na Telegramie (koniec kwietnia 2021 roku), ma miejsce także atak informacyjny na Litwie przeciwko białoruskim opozycjonistom: Swiatłanie Cichanouskiej i Pawłowi Łatuszce. Użyto w nim nowego elementu: fałszywej prośby o dotacje. Autorzy fałszywki postarali się, by wyglądała wiarygodnie. W „prośbie” wykorzystali konto polskiej organizacji charytatywnej z Wilna, a także fejkowe wideo na utworzonym dwa dni wcześniej kanale na YouTubie oraz przejęte konta członka organizacji „Lithuanian Freedom Fighters Union”, które rozsyłało link do fałszywki na Facebooku i Twitterze. Tak sfabrykowana narracja miała przedstawić przeciwników Łukaszenki jako wyłudzaczy i malwersantów. Sprawę opisali badacze DFR Lab, łącząc ją z operacją „Ghostwriter”.
Motywy znane już z poprzednich odsłon kampanii „Ghostwriter” widać też w ataku z 17 czerwca, w którym wykorzystano przejętą skrzynkę mailową Rafała Dzięciołowskiego, prezesa Fundacji Solidarności Międzynarodowej, rozdzielającej środki polskiej współpracy rozwojowej na projekty w krajach Partnerstwa Wschodniego (w tym na wsparcie białoruskich uchodźców). W tym samym ataku wykorzystano także media społecznościowe posłanki PiS Ewy Szymańskiej i kilku innych osób publicznych.
Na przejętym instagramie Szymańskiej pojawiły się screeny „zainscenizowanej” przez zhakowane konta dyskusji wokół wykradzionych ze skrzynki Dzięciołowskiego dokumentów dotyczących budżetu Radia Racja, wspieranej przez Fundację Solidarności Międzynarodowej stacji nadającej dla mniejszości białoruskiej w Polsce. Fałszywka została wykorzystana w artykule uderzającym w relacje pomiędzy Polską a białoruską opozycją, sugerując, iż pomoc dla Białorusi jest w Polsce przedmiotem ostrej, ponadpartyjnej krytyki.
Raport Mandianta z końca kwietnia wspomina także o próbie ataku phishingowego na „ważnego białoruskiego blogera i aktywistę”. Można przypuszczać, iż chodzi o którąś z osób prowadzących opozycyjny kanał Nexta na Telegramie (jego współtwórca Raman Pratasiewicz 23 maja został porwany z pokładu samolotu lecącego na Litwę i w tej chwili przetrzymywany jest przez białoruskie władze). Sciepan Puciła, twórca Nexty, po wycieku maili Dworczyka potwierdził próby zhakowania autorów kanału i podał, iż atakowano też konta Domu Białoruskiego, organizacji mniejszości białoruskiej w Polsce.
Przypomnijmy: fakenewsowy atak z kampanii „Ghostwriter” na stronę Akademii Sztuki Wojennej miał miejsce w kwietniu 2020 r. MON wówczas uspokajał: „serwis uczelni (jako podmiotu niezależnego) był hostowany poza infrastrukturą resortu obrony narodowej, a sam incydent nie miał wpływu na funkcjonowanie resortowych systemów teleinformatycznych oraz przetwarzanych w nich danych”.
Według naszych ustaleń cyberszpiedzy z UNC1151 polowali na zawartość polskich skrzynek mailowych już wiosną 2020, od początku pandemii. Zarejestrowano wówczas pierwsze domeny wykorzystywane w obecnej serii ataków. To był wymarzony moment dla wszelkiej maści cyberprzestępców – wszyscy, także politycy, przerzucili się na pracę zdalną. Wiele osób, które do tej pory pracowały z zabezpieczonych sieci biurowych, musiało zacząć korzystać z prywatnych komputerów.
Z naszej analizy wynika, iż jednym z pierwszych ruchów atakujących (w czerwcu 2020) było zarejestrowanie domeny podszywającej się pod adres poczta.ron.mil.pl, obsługiwany przez Resortowe Centrum Zarządzania Sieciami i Usługami Teleinformatycznymi. Pod tym adresem do niedawna krył się panel logowania do środowiska pracy zdalnej resortu obrony narodowej. Odpowiada za niego Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC), którego zadaniem jest zabezpieczenie jawnych i niejawnych systemów informatycznych, z których korzysta ponad sto tysięcy użytkowników – np. żołnierze na zagranicznych misjach.
Pod koniec maja, a więc zaledwie tydzień przed tym, gdy opinia publiczna dowiaduje się o wycieku maili Dworczyka, na stronie NCBC pojawia się notatka z treningu symulującego atak cybernetyczny na polski MSZ oraz ambasadę Królestwa Niderlandów na Litwie. „Atakujący umieścili fałszywe treści mające na celu destabilizację sytuacji politycznej w Europie. Do wyjaśnienia źródła ataku zostają zaangażowane Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni Litwy, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (CSIRT MON) oraz Dyplomatyczne Centrum Bezpieczeństwa Cyberprzestrzeni Królestwa Niderlandów. (…) Istnieje uzasadnione podejrzenie, iż komputery oraz smartphony dyplomatów Królestwa Niderlandów, Polski i Litwy są skompromitowane [przejęte – aut.] przez adwersarzy”.
Po próbie „złowienia” dostępu do resortu obrony narodowej atakujący sięgają po łatwiejszy łup. Przez rok zakładają ponad 20 domen wyłudzających hasła do kont pocztowych w domenach Wirtualnej Polski, Interii, vp.pl czy onet.pl. Pomysł okazuje się strzałem w dziesiątkę. To na te domeny „nabierają się” między innymi Marek Suski i Michał Dworczyk.
Co wskazuje na to, iż ataki na ron.mil.pl, skrzynkę Dworczyka, media społecznościowe Agnieszki Kamińskiej, mogą być dziełem tych samych autorów – grupy, którą Mandiant w ostatnim raporcie nazwał UNC1151?
Z użyciem usługi WHOIS, dostarczającej informacji o domenach internetowych, a także sprawdzając i krzyżując informacje z różnych źródeł (m.in. załączników do raportów międzynarodowych firm zajmujących się cyberbezpieczeństwem), przeanalizowaliśmy ponad 200 domen wykorzystywanych do ataków w latach 2018-2021. Kilkadziesiąt z nich to domeny użyte w Polsce w serii ataków obejmujących okres od maja 2020 do lipca 2021. Część tych domen firma Mandiant przedstawiła w swoim ostatnim raporcie, łącząc je bezpośrednio z grupą UNC1151.
W kwietniu 2021, po próbie ataków na skrzynki posłów Bundestagu, dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi, sprawdzając wysyłany niemieckim posłom link do strony podszywającej się pod niemieckiego dostawcę internetu, natrafił na ponad 30 domen phishingowych zarejestrowanych na organizację o tej samej nazwie.
Podążyłyśmy tym tropem, który urywał się… na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii. To tam „Vasya” i „Yun” zarejestrowali na siebie kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do wszystkich możliwych usług (np. Facebooka, Twittera, iClouda), polskich skrzynek na wp.pl i Onecie, ale także wspomnianego wcześniej polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 i prowadziła do strony logowania związanej z ukraińskim wojskiem.
Podążając tym tropem dalej, wyodrębniłyśmy kolejne grupy domen utworzonych w tym samym czasie według bliźniaczego schematu. Niektóre zarejestrowane są w Polsce, jednak wyróżnia je charakterystyczna literówka: Warazawa, jeszcze inna podgrupa – w Bielsku.
Domeny zarejestrowane pomiędzy wiosną 2020 a latem tego roku są utworzone według podobnego schematu, zabezpieczone w podobny sposób – najczęściej serwery są ukryte za usługą Cloudflare, która – zamiast łączyć użytkownika internetu ze stroną znajdującą się na serwerze atakującego – łączy go tylko z kopią znajdującą się na własnych serwerach Cloudflare. Innymi słowy – przy próbie zidentyfikowania autora strony po numerze IP – ślad urywa się w którymś z 93 państw, w których stoją serwerownie Cloudflare. Podobnie zamaskowane są też dane osób i organizacji, na które zarejestrowano domeny. A i tak, co stwierdziłyśmy wcześniej, są one fałszywe. Dla większości domen zarejestrowanych od początku 2021 jedyną informacją na temat tożsamości stojących za nią osób, jaką można znaleźć w rejestrze WHOIS, jest kraj rejestrującego (obecnie Islandia). Mimo to utworzone w tym okresie domeny podzielają ze sobą tak wiele cech wspólnych, iż można je uznać za prawdopodobnie wykorzystywane przez tę samą grupę. Łącznie takich domen przeznaczonych do użycia w samej Polsce wyodrębniłyśmy ponad 30.
Jedna z ostatnich prób ataku, na którego ślad trafiamy, została przepuszczona z domeny zarejestrowanej 9 czerwca 2021 roku, podszywającej się pod konfigurację firewalla; według naszych informacji phishing kierujący do strony udającej panel logowania do Lotusa wyłapał i zablokował filtr na serwerach sejmowych. Lotus to należący do IBM system obsługujący polski Sejm. Jednak mniej więcej w tym samym czasie i tak doszło do wejścia na sejmową skrzynkę Dworczyka – 1 lipca screen z jej zawartości, datowanej na 14 czerwca, pojawił się na kanale na Telegramie. Ci sami sprawcy logowali się też do sejmowych skrzynek 10 innych posłów różnych ugrupowań.
Dziennikarze Wirtualnej Polski ujawnili, iż poczta zarówno Sejmu, jak i wielu rządowych instytucji, zawiera krytyczne błędy.
Po co grupie, która miałaby zajmować się np. tylko zamieszczaniem kompromitujących wpisów o asystentkach czy prorosyjskich fake newsów w mediach społecznościowych posłów, ataki na takie cele jak ukraińskie wojsko czy przedsięwzięcia obronne? W połączeniu z atakiem na stronę Akademii Sztuki Wojskowej czy resort obrony narodowej można zakładać, iż niektóre działania mogły mieć drugie dno – na przykład służyły do rekonesansu infrastruktury, który zwykle poprzedza bardziej złożone uderzenia. W ten sposób atakujący „przygotowuje się” do większych operacji, sprawdza zabezpieczenia i reakcje służb.
Szkoła GRU?
Z raportu Mandianta wynika, iż UNC1151 już w 2018 – z wykorzystaniem nieaktywnych dziś domen z rozszerzeniem .ml i .tk próbowała łowić nieuważnych internautów. Te rozszerzenia to domeny Mali i Tokelau. Są popularne wśród cyberprzestępców, bo można je zarejestrować za darmo. Wiele ataków phishingowych z domen wykorzystywanych w tamtym okresie, przypisywanych dzisiaj UNC1151, dotyczyło adresów ukraińskich, ale nas najbardziej zainteresował adres utworzony w kwietniu 2018 – z oczywistym zamiarem wyłudzenia danych od użytkowników domeny poczta.mon.gov.pl. W 2018 r. pod tym adresem do swoich skrzynek mailowych logowali się pracownicy MON (dziś tę funkcję pełni atakowany przez UNC1151 w 2020 r. adres w domenie ron.mil.pl).
Fałszywa domena mon-gov.ml (z literówką w rozszerzeniu) kieruje nas na kolejny interesujący trop – działania innej, a być może tylko pozornie innej grupy cyberszpiegowskiej niż UNC1151.
Żywot phishingowych domen jest krótki, zależy od prędkości reagowania służb czy filtrów antyspamowych. Każdy kolejny atak wymaga więc coraz większej kreatywności. Przypomnijmy – adres, którego UNC1151 użyło w 2018 to http://poczta.mon-gov.ml/. To strzał w dziesiątkę: domena zostaje skasowana dopiero w październiku 2020. Jednak nie jest to pierwsza próba phishingowania polskiego MON-u.
W lutym 2016 identycznie zbudowanego adresu – poczta.mon-gov.pl (z myślnikiem zamiast kropki) używają inni sprawcy do próby wyłudzenia danych z MON. Dwa lata wcześniej – w 2014 – eksperymentują z adresem poczta.mon.q0v.pl. Domena mon-gov.pl została przejęta przez polski CERT, g0v.pl w tej chwili należy do polskiego użytkownika – obie są bezużyteczne dla atakujących.
Sprawcy tamtych dawniejszych ataków są znani – analitycy z firm zajmujących się cyberbezpieczeństwem identyfikują ich jako APT28 (APT to skrót od „advanced persistent threat”, czyli zaawansowane trwałe zagrożenie). To jeden z wielu aliasów, pod którymi kryje się jednostka w mediach funkcjonująca między innymi jako „grupa aktywistów” Fancy Bear, a zdemaskowana jako jednostka GRU, rosyjskiego wywiadu wojskowego.
Można by powiedzieć, iż to przypadkowa zbieżność – w końcu możliwości podszycia się pod mon.gov.pl ogranicza skończona liczba kombinacji możliwych literówek – ale kiedy patrzymy na domeny, podobieństw co do celów i szablonów domen jest więcej. Wśród działań przypisywanych UNC1151 przez Mandiant znajduje się atak na adresy mailowe armii Kuwejtu (również z 2018). Ustaliliśmy domenę, z której został przeprowadzony. Niemal identycznej domeny – różniącej się tylko rozszerzeniem – według ekspertów od cyberbezpieczeństwa z firmy TrendMicro – APT28 użyła z kolei w październiku 2015.
Aktywności grupy APT28 są od lat czujnie śledzone przez analityków. W ostatnim raporcie TrendMicro, monitorujący phishingowe maile od 2014 roku, zwróciło uwagę na nowy trend w taktyce, technikach i procedurach tej grupy (określanej przez tę firmę z kolei jako Pawn Storm). W maju 2019 zaczęła ona podszywać się pod swoje ofiary, by z ich zhakowanych kont rozsyłać kolejnym osobom zainfekowane pliki lub linki do stron wyłudzających hasła. Domeny phishingowe APT28 przedstawione na końcu raportu z 2019 są bliźniaczo podobne do tych przypisywanych UNC1151 w 2018 (z rozszerzeniami .ml i .tk).
Czy zatem może istnieć związek między grupą UNC1151 a grupą APT28?
Na wielu płaszczyznach UNC1151 wydaje się być wiernym naśladowcą dobrze znanych grup „ze szkoły” GRU, o zbieżnych celach i metodach, do tego pozyskującą informacje na użytek różnych niezależnych od siebie działań: kampanii „Ghostwriter”, oficjalnej propagandy, ale także z dużym prawdopodobieństwem – gry wywiadowczej lub szantażu. Wiele wskazuje na to, iż pomiędzy ich działalnością istnieje związek, który już dawno powinien postawić na nogi cały kontrwywiad.
Nowe zadania dla artystów
„Hakerzy są wolnymi ludźmi jak artyści. jeżeli artysta wstaje rano i ma dobry humor, to cały dzień maluje. Tak samo jest z hakerami. Obudzili się rano, przeczytali, co dzieje się w stosunkach międzynarodowych i jeżeli są nastawieni patriotycznie, zaczynają wnosić swój wkład w walkę z tymi, którzy źle mówią o Rosji” – kokietuje Władimir Putin w 2017 r. w odpowiedzi na pytania o ingerencję Kremla w amerykańskie wybory w 2016 r.
Już wtedy Rosja ma jedną z największych cyberarmii na świecie – od kilku lat intensywnie rekrutuje i szkoli młodych informatyków i programistów. gwałtownie zasilają oni szeregi cywilnych i wojskowych służb, w tym GRU i Służby Wywiadu Zagranicznego (SWR). Kolejne akcje i cyberataki, których tropy prowadzą do Moskwy, są coraz bardziej spektakularne. Równolegle coraz bardziej zaawansowane operacje dezinformacyjne przeprowadzają pracownicy Internet Research Agency, czyli petersburskiej fabryki trolli.
W 2016 r. NATO ogłasza, iż cyberprzestrzeń jest obszarem działań wojennych na równi z ziemią, wodą czy powietrzem. Rok później słowo fake news staje się słowem roku.
Za „dorobek” grupy APT28/Fancy Bear/Pawn Storm oficjalnie uznano: – ataki na światową agencję antydopingową (WADA) oraz jej amerykański odpowiednik (USADA) oraz przynajmniej cztery inne instytucje zwalczające doping, z których wykradli i opublikowali wrażliwe informacje o zdrowiu blisko 250 sportowców z ok. 30 państw – wzmacniając kremlowską narrację o niesprawiedliwej dyskwalifikacji kadry Rosji z Zimowych Igrzysk Olimpijskich w 2018. To wtedy GRU wykreowało personę „hacktywistów grupy Fancy Bear” do rozpowszechnienia informacji z zachowaniem pozorów „oddolnych” działań; – udaremnioną przez holenderski wywiad próbę przeniknięcia do infrastruktury Organizacji ds. Zakazu Broni Chemicznej, badającej użycie broni chemicznej w Syrii oraz nowiczoka do otrucia Siergieja Skripala (2018), byłego agenta GRU, który współpracował z brytyjskimi służbami.
Oba ataki zostały na tyle dobrze udokumentowane, iż w październiku 2018 Departament Sprawiedliwości USA wniósł akt oskarżenia przeciwko siedmiu funkcjonariuszom GRU zidentyfikowanym jako członkowie jednostki GRU 26165.
Osobną sprawę wytoczono w związku ze słynnym atakiem na kampanię Hillary Clinton – według śledczych, zaangażowane w nią było aż 12 osób z dwóch grup cyberszpiegowskich (Sandworm i APT/Fancy Bear).
Tzw. raport Muellera szczegółowo opisuje przebieg ataku będącego dziełem kilku grup. Operacja zaczęła się od zmasowanego ataku phishingowego przypuszczonego przez APT28 na członków Krajowego Komitetu Partii Demokratycznej, w którym najpierw doszło do wycieku 50 tys. maili Johna Podesty, szefa kampanii Hillary Clinton. Jednocześnie, dzięki lekkomyślnym ofiarom, hakerzy uzyskali dostęp do wewnętrznej sieci demokratów i wgrali na nią oprogramowanie przechwytujące wpisywany tekst i widok ekranu.
W tym samym czasie druga grupa – o której zaraz – kolportowała skradzione maile z pomocą specjalnie stworzonej strony DCLeaks, przekazując je mediom pod przykrywką fikcyjnej persony udającej hacktywistę – „Guccifer 2.0” udzielał choćby wywiadów.
Towarzysząca publikacji maili akcja dezinformacyjna – wykorzystująca oryginalne maile i fake newsy – kompromitowała kandydaturę Hillary Clinton.
Celem ataku były też służbowe maile Clinton – jednak atak odbił się od podwójnego zabezpieczenia. Przy okazji ujawniono, iż Clinton w latach, w których pełniła funkcję sekretarza stanu USA, korespondencję w sprawach państwowych przekierowywała lub prowadziła ze swojego prywatnego adresu e-mail i prywatnego serwera. Szef FBI uznał te działania za „niebezpieczne” mimo zastosowania podwójnych zabezpieczeń. Ani Mateusz Morawiecki, ani Michał Dworczyk nie wyciągnęli z tego żadnych wniosków – pięć lat później zostali przyłapani na rządzeniu polskim państwem z prywatnej poczty.
Co ciekawe, dochodzenie po ataku na Clinton wykazało, iż w tym samym czasie dostęp do serwerów demokratów miała też jeszcze inna (trzecia) rosyjska jednostka. Chodzi o Cosy Bear, wiązaną z SWR. Działo się to prawdopodobnie zupełnie niezależnie i z misją długoterminowego szpiegostwa.
W kontekście afery Dworczyka równie interesujące są ataki z długiej listy przypisywanej Fancy Bear przez różne firmy zajmujące się cyberbezpieczeństwem. Te ataki zyskały mniej publicznej uwagi.
W 2017 roku dokumenty wykradzione z konta dziennikarza Davida Sattera, krytycznego wobec Kremla, zostały uzupełnione o kompromitujące treści i udostępnione jako „wyciek”. Satter okazał się ofiarą szerokiej operacji phishingowej, skierowanej do ponad 200 adresatów w 39 krajach.
Grupie APT28/Fancy Bear przypisywana jest też próba ingerencji we francuskie wybory w roku 2017. Doszło wówczas, na dwa dni przed wyborami, do wycieku 20 tysięcy maili związanych z kampanią Emmanuela Macrona. Dokumenty zostały umieszczone na PasteBinie (usłudze umożliwiającej anonimowe udostępnianie surowych tekstów dzięki linka), jednak operacja poniosła klęskę: ogromna ilość informacji udostępniona tuż przed ciszą wyborczą nie przebiła się do mediów. Francuskie władze ogłosiły wówczas, iż atak był „tak ogólny i prosty, iż mógł go dokonać praktycznie każdy”.
Wiele wskazuje jednak na to, iż była to skomplikowana operacja. Według cytowanych przez „Le Monde” analityków, choć grupa APT28 rozpoczęła przygotowania do ataku w marcu 2017, porzuciła je w połowie kwietnia, a w jej miejsce weszła inna grupa – przez analityków nazywana Sandworm. Przypomnijmy: to właśnie grupa, która w 2016 miała odpowiadać za dystrybucję wykradzionych przez APT28/Fancy Bear maili z ataku na komitet demokratów.
W październiku 2020 Departament Sprawiedliwości USA ogłosił, iż stawia zarzuty sześciu zidentyfikowanym z imienia i nazwiska hakerom tej grupy, będącym jednocześnie pracownikami jednostki nr 74455 GRU.
Poza wspólnymi z APT28/Fancy Bear atakami na kampanię Macrona czy Clinton grupa Sandworm odpowiadała za przeprowadzenie „w strategicznym interesie Rosji” takich ataków jak: – ataki na ukraińskie elektrownie i sieci przesyłowe w latach 2015 i 2016; – użycie na światową skalę niszczycielskiego malware (złośliwego oprogramowania) NotPetya, które szyfrowało i wymazywało dyski; – sabotaż organizatorów Zimowych Igrzysk Olimpijskich w 2018 roku (z tych samych motywów, przez które APT28 doprowadziło do wycieku danych sportowców); – phishing pracowników Organizacji ds. Zakazu Broni Chemicznej badającej użycie nowiczoka do otrucia Skripala – w tym samym roku, w którym funkcjonariusze jednostki 26165 GRU próbowali fizycznie „wpiąć się” do jej systemu.
Z lektury akt procesów agentów GRU zaangażowanych w działania grup APT28/Fancy Bear i Sandworm, a także z raportów firm analitycznych badających te grupy, wyłania się obraz szkatułkowych operacji, prowadzonych czasem samodzielnie, czasem w kooperacji, z użyciem wielu środków jednocześnie: m.in. masowych lub spersonalizowanych phishingów, instalowania złośliwego oprogramowania, posługiwania się w sieci wykradzionymi dokumentami, fikcyjnych person i fałszywych kont w mediach społecznościowych.
Akta te czyta się jak powieść sensacyjną – tam, gdzie hakerzy nie byli w stanie zdalnie dopaść ofiar, agenci GRU podróżowali na miejsce (od Lozanny po Rio de Janeiro), by fizycznie zhakować infrastrukturę swojego celu (np. wpiąć się do hotelowej sieci WiFi). Jednak podstawowym narzędziem ich działania pozostawał mało wyrafinowany phishing.
Firmy analityczne poświęciły dużo wysiłków próbom zrozumienia wzajemnej zależności obu grup. W wielu przypadkach nie można być do końca pewnym, jaki był podział celów i zadań. Co do zasady Sandworm była opisywana przez analityków jako grupa „bardziej wyspecjalizowana, interweniująca w operacjach wysokiego ryzyka, zwłaszcza gdy liczy się czas”.
Rosyjski portal Insider w 2017 pisał natomiast o APT28/Fancy Bear: „[W przeciwieństwie do Sandworm], Fancy Bear działa raczej prymitywnie – rozsyłając masowe kampanie phishingowe, czekając, aż znajdzie się ktoś na tyle nieuważny, by kliknąć w link i udostępnić swoje hasło. Z reguły głównym zadaniem Fancy Bear było zdobycie dostępu do informacji, która potem była wykorzystywana do celów politycznych. Na przykład pozyskane dokumenty były często modyfikowane, dodawano do nich kompromitujące informacje, po czym umieszczano je na różnych serwisach należących do prokremlowskich 'aktywistów’, a następnie promowano przez kremlowskie media i farmy trolli”.
To, wobec czego panuje powszechna zgoda to to, iż działalność obu grup (tj. APT28 i Sandworm) wymaga „stale pracującej dużej kadry dobrze wyszkolonych pracowników i poważnych środków finansowych, na które nie mogliby sobie pozwolić 'wolni strzelcy'” – jak podkreślał Insider. Z akt procesów agentów GRU wynika, iż obie grupy miały bazę pod tym samym adresem w Moskwie – w budynku należącym do rosyjskiego ministerstwa obrony.
Czy UNC1151 to tylko zdolni, nijak związani, ale skrupulatni naśladowcy „szkoły GRU”? W cyberprzestępczym świecie, w którym grupy przykrywają swoje prawdziwe intencje operacjami typu false flag (Fancy Bear podszywało się np. pod ukraińskich hakerów lub zwolenników ISIS) wszystko jest możliwe, ale wydaje się mało prawdopodobne.
Wystarczy porównać ujawnione przez amerykańskich śledczych zasoby Fancy Bear i Sandworm ze skalą operacji, która w tej chwili toczy się w Polsce. Sama operacja przypisywana UNC1151 wymagała: – stworzenia bazy ponad 4 tysięcy nieprzypadkowych potencjalnych ofiar, pozyskania ich prywatnych adresów e-mail, w wielu przypadkach – zebrania informacji np. o członkach ich rodzin; – rejestracji kilkudziesięciu domen do samego działania w Polsce (a grupa operowała też w innych krajach); – przeanalizowania zawartości skrzynek uzyskanych w wyniku (prawdopodobnego) pozyskania ponad 700 kont, uzyskania dostępu do powiązanych z nimi kont w mediach społecznościowych i prawdopodobnie przejrzenia również ich zawartości; – według raportu Mandianta – również znajomości wytwarzania i wykorzystania złośliwego oprogramowania; – a dodatkowo również zaplanowania i przeprowadzenia kampanii dezinformacyjnych ze znajomością specyfiki polskiego internetu i mediów.
Nie jest to psikus, który kilku freelancerów może przeprowadzić „z piwnicy”.
Raport Mandianta stwierdza, iż „na tę chwilę nie łączy działania UNC1151 z żadnymi wcześniej śledzonymi grupami”. Jednak dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi ujawnił, iż niemieckie służby poinformowały komisję Bundestagu, iż przypisują operację „Ghostwriter” do działań GRU.
Co i kiedy wiedziały służby
W reakcji na pogłębiający się chaos informacyjny wokół sprawy rzecznik ministra koordynatora służb specjalnych wydał 22 czerwca oświadczenie, w którym stwierdzał, iż atak na skrzynkę Dworczyka to odsłona kampanii „Ghostwriter”, którą (przypomnijmy) opisaliśmy w tvn24.pl na początku kwietnia.
Komunikat głosił, iż „na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Co najmniej 500 [teraz jest mowa o ponad 700 – red.] użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów (…) Na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne (…) Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk”.
Dlaczego dopiero sprawa skrzynki Dworczyka postawiła rząd na nogi? jeżeli ostatni atak to odsłona operacji „Ghostwriter”, rządowi spece od cyberbezpieczeństwa powinni wiedzieć o niej od miesięcy.
Co i kiedy wiedziały więc służby i ich przełożeni? Jak ujawniliśmy niedługo po wybuchu afery na łamach Oko.Press, już jesienią 2020 r. pojawiły się pierwsze ostrzeżenia związane z serią ataków. Po przejęciu kont minister Maląg i posła Duszka (pomiędzy październikiem a grudniem 2020) sprawą miała zająć się m.in. wojskowa jednostka ds. cyberbezpieczeństwa (CSIRT MON) – ta sama, która broni cyberprzestrzeni z krasnalem Cyberkiem.
W grudniu spotkał się Zespół ds. Incydentów Krytycznych (stworzony przez Rządowe Centrum Bezpieczeństwa, odpowiedzialny za analizę zagrożeń i zarządzanie kryzysowe). Płk Konrad Korpowski, szef RCB, miał pytać podczas tej narady przedstawicieli zespołu, czy należy uznać hakerską operację za incydent krytyczny. Zdecydowano, iż nie ma takiej potrzeby. Pół roku później CV pułkownika Korpowskiego ze skrzynki Michała Dworczyka trafiło na kanał na Telegramie.
W styczniu kancelaria premiera wysłała posłom internetową broszurę o tym, jak się chronić przed atakami w sieci.
Na początku marca 2021 r. notatka w sprawie cyberataków, podpisana przez CSIRT-y (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego MON, NASK i GOV) ląduje na biurku urzędującego w KPRM pełnomocnika ds. cyberbezpieczeństwa – wówczas jest nim Marek Zagórski, były minister cyfryzacji. Mijają kolejne trzy miesiące – nic się nie dzieje”
ZNAKOMITY PROFESJONALNY ARTYKUŁ którego obszerne fragmenty pozwoliłem sobie przytoczyć z jedną drobną różnicą iż Jurij Tierech nie jest tylko blogerem mimo to polecam go tym bardziej iż rekomenduje go osoba związana aktualnie z kontrwywiadem a więc mająca bieżący a nie niestety archiwalny „dostęp” do tego co ustaliło ABW. Niestety nazwiska tej osoby z względów bezpieczeństwa nie mogę ujawnić. To była analiza która była mi potrzebna choćby dlatego iż po raz pierwszy dziennikarz a nie „osintowiec” użył wspaniałego narzędzia śledczego jakim jest bez wątpienia aplikacja MALTEGO . To podstawowe narzędzie dla pracy niejednego śledczego dziennikarza. Zdradzę Państwu tajemnicę iż z powodzeniem użył ją jeden z wielkich dziennikarzy śledczych a mój Followers przy badaniu afery ” Steele Dossier” związanej z niedoszłą budową TRUMP TOWER w Moskwie. Niestety ponieważ trwa cały czas śledztwo przeciwko powiązaniom byłego Prezydenta USA to również i w tym przypadku nie mogę zdradzić jego nazwiska oraz nic więcej ujawnić. Jestem też pod pozytywnym wrażeniem iż redaktor Gielewska zdążyła się dowiedzieć o moim szybkim tweecie z 8.06.2021 którego nie „namierzyli” choćby dziennikarze z Konkret 24. Dałem więc FOLLOW na Twitterze kontu pani redaktor i polecam to również moim Followersom
Pokażmy za to jeszcze raz co w sprawie afery mailowej „potrafi” ta aplikacja.
To wprost niewiarygodne ile informacji i powiązań można z analizy tego popularnego w „pewnym” środowisku -„pajączka” zobaczyć oraz po kolei je bardzo dokładnie , domena po domenie lub nazwisko po nazwisku -analizować… Brawo red Gielewska, dobra robota , pełen szacun „osintowca„!
To w tym temacie też warto zobaczyć.
VSQUARE – Telegram Channel by Fundacja Reporterów on Genially
Nie będę powtarzał to co już świetnie ustaliły redaktor Gilewska ,redaktor Julia Dauksza i Zespół Reporterów ale wiadomo iż w 2020 roku zarejestrowano domeny pishingowe w celu sfałszowania poczta.ron.mil.pl z której korzystano zdalnie. Czasy początku koronawirusa to okres niezwykłej wprost prosperity i działalności hakerów wykorzystujących to iż wiele urzędów ,instytucji czy firm przeszło na tryb zdalny.
Zaglądając do niezwykle ciekawej ale też ważnej analizy pochodzącej z września 2021 a wykonanej przez zespół analityków „PREVAILION.” dowiemy się o fałszowaniu konkretnych domen łudząco podobnych do oryginalnych.
„Nurkowanie” w głąb infrastruktury UNC1151: Ghostwriter i nie tylko – Prevailion
1 września 2021 r.
Adversarial Counterintelligence Team (PACT) Prevailion wykorzystuje zaawansowane techniki polowania na infrastrukturę i niezrównany wgląd Prevailion w tworzenie infrastruktury cyberprzestępców, aby odkryć nieznane wcześniej domeny związane z UNC1151 i kampanią wpływu „Ghostwriter”. UNC1151 jest prawdopodobnie wspieranym przez państwo podmiotem zagrażającym [1], prowadzącym trwającą i dalekosiężną kampanię wpływu, która była skierowana do wielu państw w całej Europie. Ich operacje zwykle wyświetlają komunikaty ogólnie zgodne z interesami bezpieczeństwa Federacji Rosyjskiej; ich cechy charakterystyczne obejmują antynatowskie komunikaty, dogłębną znajomość regionalnej kultury i polityki oraz strategiczne operacje wpływu (takie jak operacje hakerskie i wycieki używane w połączeniu ze sfabrykowanymi wiadomościami i / lub sfałszowanymi dokumentami). PACT ocenia z różnym stopniem pewności, iż istnieje 81 dodatkowych, niezgłoszonych domen skupionych z aktywnością, którą FireEye i ThreatConnect wyszczególniły w swoich raportach [1,2,4]. PACT ocenia również z dużą pewnością, iż UNC1151 była skierowana do dodatkowych podmiotów europejskich spoza państw bałtyckich, Polski, Ukrainy i Niemiec, w odniesieniu do których nie istnieją wcześniejsze publiczne sprawozdania.
Przegląd sytuacji:
W lipcu 2020 roku Mandiant z FireEye opublikował raport wywiadu o zagrożeniach na temat kampanii wpływu, którą nazwali „Ghostwriter”, w którym wyszczególnili klaster działań, które demonstrowały „agendę antynatowskią”, która „była skierowana głównie do odbiorców na Litwie, Łotwie i w Polsce z narracjami krytycznymi wobec obecności Organizacji Traktatu Północnoatlantyckiego (NATO) w Europie Wschodniej”. W kwietniu 2021 roku ThreatConnect opublikował aktualizację Threat Intel , która zawierała możliwą powiązaną infrastrukturę Ghostwriter podszywającą się pod organizacje wojskowe w Polsce i na Ukrainie, oraz cytuje niemieckie raporty śledcze opisujące działalność Ghostwritera przeciwko członkom niemieckiego rządu i twierdzące, iż mogą być powiązane z państwem rosyjskim. Później w kwietniu 2021 roku Mandiant opublikował aktualizację swojego wstępnego raportu , w którym przypisał przynajmniej część aktywności Ghostwritera UNC1151, „podejrzanemu sponsorowanemu przez państwo aktorowi cyberszpiegowskiemu, który angażuje się w zbieranie danych uwierzytelniających i kampanie złośliwego oprogramowania”. W maju 2021 r. (w następnym miesiącu) DomainTools opublikował raport składający się z infrastruktury UNC1151 , który potwierdził wcześniejsze ustalenia i uwzględnił wcześniej niezgłoszczoną infrastrukturę i sieciowe IOC związane z UNC1151. Wreszcie, w sierpniu 2021 r., VSQUARE opublikował wyczerpującą analizę kampanii wpływu Ghostwriter, która potwierdziła wcześniejsze ustalenia łączące działalność Ghostwriter / UNC1151 z Kremlem i szczegółowo opisujące działalność grupy w 2017 r. (i prawdopodobnie wcześniej), w tym czasie grupa została zidentyfikowana przy użyciu infrastruktury phishingowej do wysyłania ukierunkowanych wiadomości spearphishing i angażowania się w politycznie destrukcyjne operacje włamania i wycieku.
Może pomóc czytelnikowi wyszczególnić krótką oś czasu znaczących wydarzeń, które zostały wiarygodnie zgłoszone i przypisane :
- w 2014 roku próby uzyskania dostępu do Ministerstwa Obrony Narodowej z wykorzystaniem domeny phishingowej „poczta.mon.q0v[.] pl’ (później przypisany do APT28).
- w 2016 r. podjęto podobne próby wykorzystania domeny phishingowej wyświetlającej podobny wzór: „poczta.mon-gov[.] pl”. Systemy Narodowego Komitetu Demokratów Stanów Zjednoczonych zostały naruszone przez APT28 (Fancy Bear) i APT29 (Cozy Bear), prawdopodobnie działające niezależnie. Dostęp ten doprowadził do niesławnej operacji włamania i wycieku, aby zaszkodzić kampanii prezydenckiej Hillary Clinton.
- w 2017 roku, od marca, zaobserwowano niezidentyfikowaną grupę prowadzącą europejską kampanię dezinformacyjną nazwaną przez FireEye „Ghostwriter”.
- w 2018 r. UNC1151 rejestruje domeny phishingowe, w tym „poczta.mon-gov[.] ml’ „z wyraźnym zamiarem kradzieży danych z adresu, którego pracownicy używali do logowania się do swojego adresu e-mail”. Litewski CERT publikuje również raport o ataku przypisywanym później Ghostwriterowi [3].
- w 2019 roku litewski CERT publikuje kolejny [3] raport na temat ataku przypisywanego później Ghostwriterowi.
- w 2020 r. zarejestrowano i ustrukturyzowano domeny phishingowe w celu podszywania się pod poczta.ron.mil.pl, wykorzystywanych przez „pracowników MON pracujących zdalnie”. [6]. Zarejestrowano dodatkową infrastrukturę phishingową. Atakujący uzyskują dostęp do osobistego adresu e-mail szefa Kancelarii Prezesa Rady Ministrów. W Polsce realizowane są różne operacje wywierania wpływu.
- w 2021 r. zidentyfikowano UNC1151 ukierunkowany na dane logowania niemieckich polityków [3]. Operacje wywierania wpływu trwają, ale teraz nieautentyczne wiadomości są rozpowszechniane z porwanych kont, a także fałszywych person. Operacje wywierania wpływu realizowane są na Litwie [6]. W wyniku konfliktów wewnętrznych lot znanego białoruskiego blogera opozycyjnego zostaje porwany w drodze na Litwę i uwięziony. Wcześniej obserwowane operacje phishingu i wywierania wpływu realizowane są do lata.
PACT zidentyfikował nakładające się na siebie TTP w trakcie niniejszego dochodzenia, w szczególności techniki stosowane do przeprowadzania operacji wywierania wpływu (np. phishing w celu uzyskania danych uwierzytelniających w celu zaangażowania się w hack-and-leak) oraz tematy nazewnictwa domen i subdomen, takie jak „poczta” i inne polskie i ukraińskie słowa. Poprzednie raporty [6] przypisywały te nakładające się zachowania wykazywane przez różne grupy (APT28, APT29 i UNC1151) hipotezie, iż cała ta działalność jest w jakiś sposób związana z państwem rosyjskim ogólnie, a konkretnie z jego aparatem wywiadowczym; PACT zgadza się z tą oceną: jest prawdopodobne, iż działalność UNC1151 jest kontrolowana lub pod wpływem rosyjskich służb wywiadowczych. PACT nie przypisuje aktywności APT28 i APT29 unc1151 lub odwrotnie.
UNC1151 i związana z nią kampania Ghostwriter są szerokie zarówno pod względem zakresu, jak i celu; Poprzednie raporty wskazują na kierowanie odbiorców w krajach bałtyckich (Estonia, Łotwa i Litwa), a także w Niemczech, Polsce i na Ukrainie. Analiza infrastruktury phishingowej z tych raportów wskazuje, iż grupa atakowała oficjalne konta rządowe (zarówno cywilne, jak i wojskowe), a także konta osobiste. Dodatkowa analiza przeprowadzona przez PACT wskazuje na kierowanie reklam do jeszcze innych odbiorców.
Wcześniejsze raporty i dodatkowe analizy sugerują, iż jednym z zachowań UNC1151 jest używanie domen głównych ze wspólnymi, pozornie uzasadnionymi słowami i tematami (np. „net-account[.] online” lub „login-telekom[.] online”), a następnie wykorzystać je dzięki konkretnych, ukierunkowanych subdomen, aby utworzyć długie adresy URL, które sprawiają, iż ich domeny phishingowe wyglądają na legalne (np. „gmx.net-account.online” lub „verify.login-telekom[.] online”). Dodatkowe przykłady pojawiają się w innym miejscu tego raportu i pokazują zdolność UNC1151 do tworzenia przekonujących domen, które pozwalają im przechwytywać dane uwierzytelniające w wysoce ukierunkowanych kampaniach spearphishingowych, które można następnie wykorzystać do dalszych operacji wywierania wpływu: hack-and-leak i nieautentyczne wiadomości (wysyłanie sfałszowanych lub zmanipulowanych wiadomości lub publikowanie podżegających materiałów z porwanych lub fałszywych kont). Ta zdolność, w połączeniu ze zgłoszoną zdolnością UNC1151 do zrozumienia i wykorzystania istniejących wcześniej szczelin społeczno-kulturowych do zasiania niezgody i niepokoju w atakowanych państwach (zgodnie z celami bezpieczeństwa Moskwy), może okazać się szkodliwa i trudna do przeciwdziałania, a zatem powinna zostać podkreślona.
PACT zidentyfikował tematy nazewnictwa domen i subdomen, które wskazywały na kierowanie do następujących odbiorców: ukraiński i polski rząd (w szczególności sektor obronny) (zdjęcie 1,2), europejscy użytkownicy iPhone’a i iCloud (zdjęcie 3), Francuska Delegacja Informacji i Komunikacji Obronnej (DICoD) (departament francuskiego Ministerstwa Sił Zbrojnych) (zdjęcie 4) oraz użytkownicy popularnych regionalnych dostawców usług internetowych w Europie i Rosji (obrazy 5-8), a także globalni giganci technologiczni, tacy jak Google, Microsoft, Apple, Twitter i Facebook (zdjęcia 9,10).
 | Obraz 1: Domena phishingowa spreparowana w celu kierowania na ukraińskie konta rządowe. |
 | Zdjęcie 2: Domena phishingowa spreparowana w celu kierowania na polskie konta rządowe. |
 | Obraz 3: Domena phishingowa spreparowana w celu kierowania reklam do europejskich użytkowników iCloud. |
 | Obraz 4: Domena phishingowa spreparowana w celu kierowania na francuskie konta DICoD. |
 | Obraz 5: Domena phishingowa spreparowana w celu kierowania na meta.ua, popularnego ukraińskiego dostawcy usług internetowych. |
 | Obraz 6: Domena phishingowa spreparowana w celu zaatakowania bigmir) net, dużego portalu informacyjno-rozrywkowego z siedzibą na Ukrainie. |
 | Obraz 7: Domena phishingowa spreparowana w celu zaatakowania „interia.pl”, dużego polskiego dostawcy usług internetowych. |
 | Obraz 8: Domena phishingowa spreparowana w celu zaatakowania „ukr.net”, ukraińskiego portalu usług internetowych. |
 | Obraz 9: Domena phishingowa spreparowana w celu kierowania na konta na Twitterze. |
 | Obraz 10: Domena phishingowa spreparowana w celu kierowania na konta głównych gigantów mediów społecznościowych i technologii. |
UNC1151 udowodnił skuteczność tych taktyk, ponieważ setki ofiar, w tym członkowie komisji wywiadu parlamentarnego i szef Kancelarii Prezesa Rady Ministrów, wzięli przynętę i dali atakującym dostęp do ich prywatnych kont e-mail [6]. Niestety, udane wyłudzanie jego celów jest tylko początkową, umożliwiającą działanie funkcją metodologii operacyjnej UNC1151. Następnie aktor wykorzystuje ten dostęp do dalszych operacji wywierania wpływu.
Metodologia śledcza
PACT wykorzystał unikalną widoczność i zastrzeżoną platformę wywiadowczą Prevailion, wraz z wcześniejszymi raportami publicznymi, do identyfikacji wzorców i infrastruktury internetowej (np. Historyczna rejestracja domen, certyfikat TLS, DNS i dane hostingowe), aby pomóc w identyfikacji dodatkowej infrastruktury UNC1151. PACT zidentyfikował dodatkowe 83 domeny związane z UNC1151, które nie zostały wcześniej zgłoszone: 52 z nich PACT ocenia z wysokim zaufaniem, są lub były częścią infrastruktury operacyjnej UNC1151, a 31, które PACT ocenia z umiarkowaną pewnością, iż są wcześniej wykorzystywaną infrastrukturą phishingową do ukierunkowanych kampanii phishingowych aktora.
Klaster Wysokiego zaufania został powiązany z poprzednimi raportami publicznymi i jest wymieniony na dole tego bloga; PACT obejmował również resztę infrastruktury UNC1151 z poprzednich raportów dla wygody obrońców i badaczy. Klaster ten obejmuje domeny phishingowe, które PACT ocenia z dużą pewnością, iż miały na celu uzyskanie danych logowania dla członków DICoD francuskiego Ministerstwa Obrony. Znaczna część tego klastra wydaje się być zaprojektowana do przechwytywania danych logowania do oficjalnych i osobistych kont odbiorców polskich i ukraińskich (obrazy 11,12); wspólne motywy subdomen są wspólne dla wszystkich (obrazy 13-16). Działalność związana z tym klastrem domen jest w toku, o czym świadczy rejestracja „login-inbox[.] site’ w dniu 2021-08-20.
 | Zdjęcie 11: Domena phishingowa spreparowana w celu kierowania na oficjalne konta polskiej publiczności. |
 | Obraz 12: Domena phishingowa spreparowana w celu kierowania reklam na konta osobiste ukraińskich odbiorców. |
    | Obraz 13–16: Domeny wyłudzające informacje wyświetlające typowe motywy subdomen. |
Klaster umiarkowanego zaufania został zidentyfikowany na podstawie zaobserwowanych podobieństw hostingowych, wcześniejszych raportów na temat szeroko zakrojonych kampanii phishingowych [6] oraz podobieństw tematów nazewnictwa domen i subdomen [2]. Ten klaster aktywności był aktywny jeszcze w lipcu 2021 r., ale większość rejestracji domen miała miejsce w 2019 r., A wygaśnięcie w 2020 r. Motywy nazewnictwa wskazują docelową grupę docelową użytkowników Apple (iPhone i iCloud) w Europie; prawie wszystkie domeny główne mają co najmniej jedną subdomenę, która zawiera słowa „apple” lub „icloud” (obrazy 17,18). Dodatkowe subdomeny wydają się być kierowane również na PayPal i loginy OVH Telecom (obrazy 19,20). jeżeli PACT ma rację przypisując tę aktywność UNC1151, ten klaster w większości wygasłych działań Umiarkowanego Zaufania wskazuje na zmianę w kierowaniu około 2020/2021, ponieważ Ghostwriter był skierowany przede wszystkim do odbiorców w Polsce, na Ukrainie i w krajach bałtyckich (co można łatwo zauważyć po szybkim spojrzeniu na subdomeny w klastrze Wysokiego Zaufania). Natomiast ten klaster umiarkowanego zaufania wydaje się wyraźnie ukierunkowany na europejskich użytkowników iCloud.
 | Obraz 17: Domena wyłudzająca informacje spreparowana w celu kierowania na konta Apple/iCloud. |
 | Obraz 18: Domena wyłudzająca informacje spreparowana w celu kierowania na konta Apple/iCloud. |
 | Obraz 19: Domena wyłudzająca informacje spreparowana w celu kierowania reklam na użytkowników PayPal. |
 | Zdjęcie 20: Domena phishingowa spreparowana w celu kierowania reklam na OVH Telecom. |
Konkluzja
PACT nie jest w stanie zweryfikować, czy UNC1151 jest jednorodną grupą o kierunku centralnym; PACT nie może również zweryfikować, czy wszystkie działania Ghostwritera były prowadzone przez UNC1151, ponieważ analitycy PACT mają wgląd tylko w infrastrukturę internetową. Możliwe, iż tworzenie infrastruktury phishingowej, gromadzenie danych uwierzytelniających, dostęp i operacje wywierania wpływu były centralnie kierowane lub kontrolowane, ale przeprowadzane przez różne grupy. Oczywiste jest jednak, iż istnieje nadrzędny temat i kierunek tych działań. To właśnie ten temat i kierunek PACT zidentyfikował i przez cały czas śledzi w ramach podmiotu UNC1151, który potwierdza raporty cytowane poniżej.
PACT przez cały czas śledzi UNC1151 i kampanię Ghostwriter, wykorzystując unikalny i niezrównany wgląd Prevailion w tworzenie złośliwej infrastruktury i będzie publikować kolejne aktualizacje, gdy zostaną zidentyfikowane i potwierdzone.
Odwołania
[1] https://www.fireeye.com/blog/threat-research/2020/07/ghostwriter-influence-campaign.html
[2] https://threatconnect.com/blog/threatconnect-research-roundup-threat-intel-update-april-1st-2021/
[4] https://www.tagesschau.de/investigativ/wdr/hackerangriffe-105.html
[5] https://www.domaintools.com/content/iris-report-unc-1151-domains.pdf
[6] https://vsquare.org/the-ghostwriter-scenario/
Dodatek (IOC)
PACT ocenia z dużą pewnością, iż następujące domeny są częścią operacji UNC1151; ponadto nie pojawiają się one w publicznych raportach, które pojawiły się w ramach analizy PACT:
- account-signin.online
- bigmir-net.online
- bigmir-net.site
- com-firewall.site
- com-verification.site
- fr-login.website
- i-ua.site
- id-passport.online
- interia-pl.online
- interia-pl.space
- interia.site
- is-lt.online
- is-lt.site
- login-credentials.online
- login-inbox.site
- mail-i-ua.site
- mail-validation.online
- meta-ua.site
- must-have-oboron.space
- net-login.online
- net-login.site
- net-login.space
- net-login.website
- net-mail.space
- net-validate.space
- net-verification.site
- net-verification.website
- oborona-ua.site
- passport-account.online
- passport-yandex.online
- passport-yandex.site
- protect-sale.site
- receller.space
- sales-oboron.space
- signin-credentials.online
- signin-inbox.online
- signin-inbox.site
- uazashita.space
- vilni-ludi.space
- vp-pl.site
- vp-pl.website
- webmail-meta.online
- wirtualna-polska.online
- wp-dostep.website
- wp-firewall.site
- wp-pl.online
- wp-pl.site
- wp-pl.space
- wp-pl.website
- yahoo-com.site
- yahoo-com.space
- Zahist-ua.space
Następujące domeny zostały wcześniej przypisane jako część operacji UNC1151:
- account-inbox.online
- accounts-login.online
- accounts-telekom.online
- com-account.website
- com-validate.site
- com-verify.site
- credentials-telekom.online
- google-com.online
- inbox-admin.site
- interia-pl.site
- interia-pl.website
- login-inbox.online
- login-mail.online
- login-telekom.online
- login-verify.online
- logowanie-pl.site
- meta-ua.online
- mil-secure.site
- net-account.online
- net-account.space
- net-support.site
- net-verification.online
- net-verify.site
- onet-pl.online
- op-pl.site
- potwierdzenie.site
- ron-mil-pl.site
- ron-mil-pl.space
- ru-mailbox.site
- ru-passport.online
- secure-firewall.online
- secure-firewall.site
- signin-telekom.online
- ua-agreements.online
- ua-login.site
- ua-passport.online
- ukroboronprom-com.site
- ukroboronprom.online
- verify-ua.online
- verify-ua.site
- verify-ua.space
- wp-agreements.online
- wp-pl-potwierdz-dostep.site
- wp-pl.eu
- wp-potwierdzac.site
PACT ocenia z umiarkowaną pewnością, iż następujące domeny są częścią infrastruktury phishingowej używanej przez UNC1151; ponadto nie pojawiają się one w publicznych raportach, które pojawiły się w ramach analizy PACT:
- appie.in
- apple-email.online
- apple-emails.online
- betlimanpark.com
- com-direct.in
- com-directly.in
- com-id.info
- com-id.site
- com-idlog.in
- com-idlogin.in
- com-idlogin.site
- com-ids.in
- com-ids.info
- com-idsign.in
- com-idsite.in
- com-last.info
- com-latest.info
- com-latestlocation.info
- com-locations.info
- com-logs.in
- com-map.tech
- com-site.id
- com-site.in
- com-sys.in
- emails-apple.live
- eu-icloud.com
- europe-apple.com
- europe-icloud.com
- idlog.in
Matt Stafford, starszy badacz ds. analizy zagrożeń
Proszę zwrócić uwagę na to iż w tej analizie są domeny łudząco podobne do popularnych domen Wirtualnej Polski / pozycja 43-49 / czy Interii / pozycja 9-12 / i osoby mające niezabezpieczoną odpowiednio pocztę która nie ma dwuskładnikowego uwierzytelniania czy bez robionej na bieżąco a nie raz na jakiś czas -aktualizacji zabezpieczeń antywirusowych, anty spyware przez najlepszych i najpewniejszych dostawców takich jak choćby NORTON będą narażone na ataki.
16.11.2021. Zespół analityków MANDIANT publikuje raport dotyczący UNC 1151
Proszę zauważyć i to jest w tej aferze mailowej najciekawsze ,kanał z dokumentami rządowymi istnieje od 5 .02 2021, podczas gdy kanał „mailowy” dopiero od 4 .06.2021. Idą tak jakby dwa „strumienie” maili ponieważ w opublikowanych dokumentach nie ma nic, co by wskazywało, iż pochodzą akurat z prywatnego maila ministra Dworczyka czy jakiegokolwiek innej skrzynki mailowej. Nasuwa się też pytanie: skąd pochodzi część plików i gdzie włamali się hakerzy? Czy atak hakerski dotyczył tylko prywatnych skrzynek mailowych, czy również jakiegoś rządowego serwera?
Na samym portalu Telegram są dwa kanały które wymagają szczególnej uwagi -„Poufna Rozmowa” i rosyjskojęzyczny „Tajna Europa 2.0 „. Już na samego początku odniosłem dziwne wrażenie iż komuś zależy aby myślano iż za wyciekiem maili stoją tylko hakerzy z Wschodu. Fakt iż hakerom błędy i pozostawianie cyfrowych śladów raczej nie zdarzają się dlatego należy o ile jest możliwość to sprawdzać metadane każdego maila.
Poniedziałek 21.06.2021 , g.14:35
Z powyższym skanem jest związany interesujący artykuł eksperta.
28.06.2021. Portal Onet. Komputer Świat.
„Rzekomy mail ministra Dworczyka, w którym podejmowany jest temat użycia sił wojskowych wobec Strajku Kobiet, wyciekł na Telegramie kilka dni temu. Nowe światło na sprawę rzucają znajdujące się na nim metadane, w tym adresy IP wskazujące, iż wiadomość mogła zostać wysłana z biura Kancelarii Premiera. Nie da się jednak wykluczyć, iż ujawnione w tej kwestii dane zostały spreparowane.
Chociaż co do autentyczności wiadomości, która wyciekła, nie możemy mieć stuprocentowej pewności, to znajdujące się na zrzucie ekranu informacje odzwierciedlają rzeczywisty adres IP – 91.198.194.12. Po sprawdzeniu go w bazie pojawia się trop, prowadzący bezpośrednio do Kancelarii Prezesa Rady Ministrów.
Foto: Telegram Metadane rzekomego maila ministra Dworczyka
Dane dotyczące każdego adresu IP są jawne i ogólnodostępne. Sami możecie je sprawdzić w serwisach typu findip-address.com. W przypadku powyższej informacji, może ona oznaczać, iż chociaż wiadomość wysłana została z prywatnego konta, to zalogowane było ono do sieci należącej do biur Kancelarii Premiera.
Foto: findip-address.com .Informacje o adresie IP z rzekomego maila ministra Dworczyka.
Nie tylko eksperci z „Komputer Świat” czy ja potwierdzają iż jest naprawdę poważny „polski wątek” w aferze który przez nikogo nie jest do tej pory analizowany. Internauta „@OkropnyUrwis” również pokusił się o analizę i do tego graficzną.
Przypomnijmy, iż chodzi o mail, w którym dyskutowana jest kwestia użycia wojska wobec protestów związanych ze Strajkiem Kobiet.
Szerzej temat samego wycieku wiadomości wyjaśniał Onet.
Dalsza część tekstu poniżej materiału wideo:
https://pulsembed.eu/p2em/SIVSGwtwg/
Jeżeli informacja o tym, iż mail został wysłany z metadanymi IP sieci KPRM, jest prawdziwa, to może to oznaczać jeden z poniższych scenariuszy:
- Ministrowie korzystają w zabezpieczonej rządowej sieci z prywatnych kont do wysyłania wiadomości
- Doszło do włamania do sieci biura Premiera, co może oznaczać, iż mail jest fałszywy, ale obnażałoby słabość zabezpieczeń rządowych sieci, do której dostęp uzyskały osoby z zewnątrz, które wysłały tę wiadomość
- Najmniej prawdopodobny, ale w teorii także możliwy – doszło do sfałszowania adresu IP (tak zwany IP spoofing) i podszycia się pod adres należący do biura Premiera, co byłoby zadaniem bardzo trudnym, ale wtedy można założyć, iż wiadomość jest sfałszowana, a do włamania do sieci nie doszło
Metadane z rzekomej wiadomości ministra Dworczyka mogą być kolejną przesłanką, by uznać wyciek za prawdziwy, a działania niektórych członków rządu za nieodpowiedzialne – przynajmniej w obszarze bezpieczeństwa rządowych sieci.”
Zainteresował mnie ten IP o numerze 91.198.194.12 z dnia 21.06.2021 wychodzący co nie ulega najmniejszej wątpliwości z Kancelarii Prezesa Rady Ministrów czyli Premiera Mateusza Morawieckiego ponieważ jest to ślad cyfrowy który należy koniecznie przeanalizować. Państwo zapytają prawdopodobnie dlaczego interesują mnie wszystkie nazwiska pracujące w KPRM ? Zakładam iż któraś z tych osób odeszła do pewnej polskiej instytucji o której będzie w blogu poniżej a której z numerów IP łączono się z dwoma serwerami w Moskwie. Należy więc sprawdzić bardzo dużą grupę osób i zweryfikować czy jest jakiś związek między tym IP z KPRM a IP z innej ważnej polskiej instytucji.
Ale KPRM to nie jest taka zwykła „Kancelaria” jaką sobie wszyscy wyobrażamy . Spójrzcie Państwo na ogromną i potrzebną ilość departamentów pracujących dla szefa rządu a to jeszcze nie koniec …..
Na stronie http://www.gov.pl znajdziemy jeszcze takie „MENU„
Mamy listę doradców i asystentów politycznych mających prawdopodobnie dostęp do komputerów w KPRM
Poniżej plik stanu osobowego tej grupy na dzień 23.08.2022.
Proszę zwrócić uwagę na rubrykę „DATA ZATRUDNIENIA” a okaże się iż tylko 3 osoby pracują od 2019 roku i nie zostały zmienione. Są to Patryk Mróz, Artur Fiołek oraz Emil Szerszeń. choćby w „gabinetach politycznych” wicepremiera Jacka Sasina oraz jedynego polityka z Solidarnej Polski -Michała Wójcika wymieniono doradców …
Nas przede wszystkim interesuje lista „doradców” i „asystentów politycznych ” pracujących w dniu 21.06.2021.
Niestety aby tą listę otrzymać należy zwrócić się pisemnie do BIP . Tak też zrobiłem w dniu 20.09.2022 korzystając z ustawy o dostępie do informacji publicznej.
23.09.2022.
Otrzymałem odpowiedz od p. Agnieszki Kowalskiej z Centrum Informacyjnego Rządu i cytuję :
„W Kancelarii Prezesa Rady Minstrów nie byli i nie są zatrudniani doradcy i asystenci społeczni „
Powyżej pokazałem Państwu iż jest na stronie internetowej KPRM jest pozycja : DORADCY I ASYSTENCI SPOŁECZNI ” więc myśląc sobie iż pani sekretarz chyba żle mnie zrozumiała ,wysłałem kolejnego maila wraz z skanami ze oficjalnej strony którą Państwu pokazałem wyżej …
W moim mailu prosząc BIP KPRM o informację oczywiście pomyliłem się bo chodziło mi o asystentów politycznych a nie społecznych ale Sekretarz Agnieszka Kowalska w mailu z dnia 3.10. 2022 z wysłała mi listę z czerwca 2021 roku.
Tak jak pisałem wcześniej trzy nazwiska z tej listy nie podlegają analizie ponieważ pracują cały czas w KPRM . Na tej liście to pozycja 11,14 i 15. o ile żadna z tych osób nie przeszła do pewnej instytucji to będziemy pytać BIP o osoby pracujące w CIR i innych Departamentach w czerwcu 2021. Żmudna to praca ale należy ją wykonać. Na otrzymanej liście jest jedno nazwisko do którego mam podejrzenia ale nie mogę tego nazwiska upublicznić . Najchętniej to bym zapytał się BIP kto z pracowników KPRM mógł mieć dostęp do rządowego komputera o interesującym nas numerze IP 91.198.194.12 ale podejrzewam iż takiej informacji nikt mi nie udzieli choćby w trybie ustawy dostępu do informacji publicznej. Muszę więc po kolei pytać się o poszczególne jednostki organizacyjne będące w strukturze KPRM .Na drugi „ogień” wysłałem więc w dniu 9.10.2022 maila o nazwiska pracowników Centrum Informacyjnego Rządu pracujących w czerwcu 2021.
W dniu 24.10.2022 otrzymałem odpowiedz z BIP CIR która każe mi czekać z analizą nazwisk przynajmniej do 9.12.2022….
Nie będę czekał a jeżeli otrzymam tą listę to wtedy ją przeanalizuję czy któraś osoba mająca dostęp do tego IP w KPRM mogła pójść pracować do pewnej polskiej ważnej instytucji z której łączono się z dwoma serwerami w Moskwie / jest cyfrowy ślad/ o czym będzie poniżej. .
10.06.2021.
No proszę co my tu mamy ! jeżeli choćby Białorusin dla zmylenia go czytających napisał iż „Myśleliśmy przez 4 miesiące ,żeby powiedzieć tak sprytnie i postanowiliśmy zwalić wszystko na rosyjskich hakerów” czy „wyczyny” K. Kotowicza którego „zakrywają po takiej ośnieżnicy ” o których miał wiedzę ,to należy spróbować „wyciągnąć” wszystko od niego i o nim samym korzystając czy to z jego konta na Telegramie czy też z rosyjskich lub białoruskich mediów społecznościowych a i przyjrzeć się K. Kotowiczowi i innym .
Zdjęcie z postu J. Tierecha dotyczącego Karola KotowiczaPostanowiłem zrobić research aby dowiedzieć się „WHO IS WHO” i przyjrzeć się bardziej kilku kontom na białoruskim Telegramie pomijając już konto Jurija Tierecha / poniżej na zdjęciu / o którym szerzej w poniższym artykule pisała redaktor Anna Mierzyńska.
Tego powyższego posta i „dobrych rad” w nim zawartych białoruskiego publicysty nie ma co tłumaczyć…to się samo przede wszystkim graficznie tłumaczy. Powiem Państwu tylko iż to jest cała siatka świetnie zorganizowanych i ściśle współpracujących ze sobą kont o podobnym profilu nacjonalistycznym. Wszystkie te konta łączy jedno sporej wielkości konto / ponad 77 tyś subskrybentów/ – „Żółta Siła” które jest „pasem transmisyjnym” dezinformacji, propagandy białoruskiego reżimu , nienawiści do Litwy , Łotwy, Estonii i oczywiście do Polski bez rozróżniania kolorów politycznych.
Oto przykłady wzajemnego wsparcia i powiązań.
Pozdrowionko podobne jak i u naszych „białej siły”
My to dla nich bezwartościowe i to wszyscy bez wyjątku -określani z ich poczuciem własnej wyższości -„Poljaki” i w tym przypadku bez żadnego rozróżniania przez nich kolorów czy sympatii politycznych – wszyscy w Polsce są „reżimem”. W powyższym poście jest „reklama” jeszcze jednego interesującego konta .
NEWOLF. Konto to działa od stycznia 2021 r.
Mimo „dokopania” się do momentu założenia konta nie mogłem ustalić personaliów jego właściciela choć zdradził coś w pierwszym poście i kilku następnych na początku 2021 roku , chwaląc białoruskiego generała Aleksandra Volfovicha….Volfowicz...a tu pseudonim „Nevolf„…Konto ma 6 tyś subskrybentów i stricte poświęca wszystkie swoje posty informacje wojsku i służbom białoruskiego KGB….dziwne mam skojarzenia. Jest agresywny w stosunku do naszego kraju. To jego post z początku maja 2021…
Konto „Neovolf” jest promowane przez konto „Tajna Europa 2.0„…..
Zanim powstało konto „Tajna Europa 2.0 ” wcześniej powstało 5.02.2021 konto „Tajna Europa„
Ponieważ redaktor Anna Mierzyńska niestety ku mojemu przerażeniu nie zdawając sobie sprawy z swej krótkowzroczności i tego iż jest „rozgrywana” a więc prawdopodobnie ku skrywanej euforii białoruskich hakerów którzy i można to przyjąć i jest na to dowód w postaci promowanemu przez nich hasztaga #DworczykLeaks czytają ją jako pierwsi , „wyprodukowała” dla portalu OKO PRESS co prawda merytoryczne ,krótkie analizy ,jedną po drugiej ale koniec każdej z tych analiz był zawsze obarczony znakiem zapytania . Niestety co z resztą można się było tego spodziewać ,spowodowało to też na samym początku szybkie zawieszenie przez ABW ,obserwowanych przez mnie kont i wyciągnięcia z nich więcej informacji a pózniej to już wszyscy zaczęli pisać o aferze z maili co prawda to trudno jest mieć im za złe ale niestety znacząco zwiększyli celowo bądz nie celowo – zasięgi hasztagów „MaileDworczyka , #DworczykGate i #DworczykLeaks ,co było niestety na „rękę” hakerom.
To post z 4.08.2021 na kanale Telegram wspomnianego właśnie portalu „Tajna Europa 2.0” współpracującego z kontem „Nevolf” i innymi nacjonalistycznymi białoruskimi kontami tym razem cytujący artykuł dla portalu OKO PRESS którego napisała redaktor Anna Mierzyńska.
Tylko dwa razy hakerzy posłużyli się polskimi artykułami. Raz w przypadku portalu DO RZECZY i raz właśnie w przypadku portalu OKO PRESS ale w tym drugim przypadku dwa razy wykorzystali hasztag #DworczykLeaks . Dla mnie była to w tym akurat przypadku to też jest ważna informacja.
20.08.2021.
I znowu wykorzystany jest przez hakerów tweet redaktor Anny Mierzyńskiej natomiast co interesujące ani razu nie była przez nich „cytowana” redaktor Anna Gielewska która przecież zrobiła wespół z innymi dziennikarzami znakomite analizy.
Dlaczego akurat redaktor Anna Mierzyńska a nie inni dziennikarze śledczy piszący o tej sprawie ?
Dlaczego też chodzi hakerom o ten hasztag a nie inny anglojęzyczny #DworczykGate ? prawdopodobnie chodziło hakerom o „zasięgi” i „rozpoznawalność” medialną dziennikarki w internecie oraz obu hasztagów. Poprosiłem portal OSINQUEST który zrobił porównanie obu hasztagów.
Poprosiłem również portal EMOCJE W SIECI który zrobił zestawienie kont „generujących” największe zasięgi hasztagowi #DworczykLeaks
Pozwoliło to przecież choćby po licznych perturbacjach o czym pisałem wcześniej ,otworzyć polskojęzyczną stronę „POUFNA ROZMOWA” , całkiem o dziwo dobrze „redagowaną” w języku polskim i bez specjalnych błędów wskazujących iż strona jest prowadzona przez osobę lub też osoby na co dzień używające cyrylicy…Przykro mi to pisać ale określenia „pożyteczny idiota Kremla ” lub „słup reklamowy” nabiera całkiem nowego znaczenia kiedy wybierając konkretny hasztag przy okazji można „obserwować” analityczkę piszącą nie tylko dużo ale przy okazji „generującą” „zasięg ” oddziaływania hasztagu poprzez ilość swoich Followersów….
Pisać artykuły owszem można i trzeba ale wtedy kiedy ma się naprawdę bardzo dużo ważnych informacji ale choć rozumiem tą młodą, niezwykle ambitną i żądną medialnego sukcesu czy rozpoznawalności w mediach telewizyjnych – dziennikarkę /artykuły to też finansowe zródło utrzymania /to w tej konkretnej i niezwykle poważnej sprawie pozwala hakerom na całkiem niezłą orientację jak na bieżąco w Polsce wygląda stan i poziom konkretnych „wycieków”…..
2 .02.2021 został upubliczniony plik COMB21 lub Breachcomp2.0 zawierający ogromną bazę wykradzionych danych z adresami mailowymi i hasłami do nich w tym dane z adresami dotyczącymi Polski.
5 .o2.2021 powstał pierwszy kanał na Telegramie.
8 .02.2021 @Ludazhor czyli Jurij Tierech napisał posta dotyczącego Karola Kotowicza.
| Syhunt COMB: Wielki wyciek hasła| Syhunt COMB: Wielki wyciek hasła
Można się zastanawiać kto mógł wiedzieć o tym gigantycznym wycieku oprócz hakerów z Wschodu którzy mogli go wykorzystać „mieszając” maile tak aby nie można można było ustalić zródła.
Redaktor Anna Mierzyńska właśnie w jednej ze swoich niezwykle licznych analiz dla portalu OKO PRESS napisała taką informację :
„20 kwietnia portal Niebezpiecznik.pl ujawnił, iż w Polsce doszło do wycieku danych osobowych 20 tys. funkcjonariuszy, w pliku pochodzącym z Rządowego Centrum Bezpieczeństwa. Ten wyciek mógł nie być bezpośrednio powiązany z COMB21, ale z informacji medialnych wynika, iż po jego ujawnieniu w RCB wykonano audyt cyberbezpieczeństwa i zabezpieczono wszystkie możliwe miejsca wycieku.
To ważne, ponieważ daty powstania opublikowanych dotychczas na Telegramie dokumentów rządowych i maili kończą się na 22 kwietnia. Zupełnie jakby właśnie wtedy hakerzy utracili dostęp do źródeł informacji. Czy stało się to w wyniku audytu w RCB? Czy właśnie wtedy odkryto, iż ktoś z zewnątrz ma dostęp do danych?„
Moim zdaniem zbyt pochopnie jeszcze za wcześnie było wtedy na aż takie stanowcze wnioski i to w momencie kiedy dopiero co poznało się zaledwie bardzo małą cząstkę maili nie mając wtedy jeszcze większej wiedzy a przecież RCB w żaden sposób nie odniosło się i nie odpowiedziało na pytania redakcji i nie można było liczyć iż po artykule publicznie odniosą się do tej tezy skoro trwa śledztwo.
Czy rzeczywiście wyciek maili zakończył się na dacie 22.04.2021 tak jak twierdzi redaktor Anna Mierzyńska ?
15.06.2021 i 25.06.2021 upublicznione zostają maile z datą –23.04.2021
Ktoś z hakerów chyba codziennie „czyta” redaktor Annę Mierzyńską i postanowił spłatać jej figla .
1.07.2021. Twitter
Portal „ZAUFANA 3 STRONA „
Jeśli wierzyć najnowszym publikacjom z kanału ujawniającego dane wykradzione ze skrzynki Dworczyka, to włamywacze mieli dostęp także do jego skrzynki sejmowej I TO 6 DNI PO UJAWNIENIU AFERY (co najmniej do 14 czerwca).
11.07.2021. Upubliczniony został mail z 26.05.2021. Przejrzałem wszystkie maile i wiadomo iż od tej pory nie upubliczniono już maila z nowszym datowaniem.
Nawiasem mówiąc to dwa dni pózniej tj.28.05.2021 miałem już pierwszą wiedzę o ataku hakerów i wysłaniu tweetów z zhakowanego konta @katarzyna_kozon na konta Premier B. Szydło i europosła Tomasza Poręby.
16.07.2021 TVP Info informuje iż w wyniku działań władz zamknięto 2 konta „Poufnej Rozmowy” na Telegramie a w tym samym dniu wspomniany wyżej białoruski portal „Tajna Europa 2.0 ”
Przetłumaczę tylko pierwszy i moim zdaniem najciekawszy fragment tego posta:
„Dziś wieczorem otrzymaliśmy wiadomość od naszych polskich przyjaciół. Okazało się iż ich kanał ” Poufna Rozmowa” na którym zamieszczali korespondencję najwyższych urzędników Polski zrobił taki szum iż zmusili polski rząd do radykalnych działań„
Tyle cytat. Dalej napisali o grożbie zablokowania kanału.
16.07.2021 pojawiają się kompromaty. Czy była to natychmiastowa reakcja hakerów na akcję służb i rządu ? Napiszę jeszcze pózniej o tym.
26.07.2021 pojawia się znana strona – „POUFNA ROZMOWA” a pierwszym „postem” na niej był wyciek korespondencji urodziwej posłanki PIS / jedna z dawnych „aniołków Kaczyńskiego”/ Anny Rodziewicz -Schmidt ,zresztą byłej współpracowniczki / odeszła z KPRM w grudniu 2020 r/ będącej wcześniej współpracowniczką Adama Lipińskiego , szarej eminencji z tzw „Zakonu PC” / tego kiedyś nagranego w korupcyjnej rozmowie z Renatą Berger/ ” do Michała Dworczyka opatrzony wymownym zdjęciem z wycelowanym karabinem.
Zajrzyjmy do maila „inaugurującego „Poufną Rozmowę „.
Mail jest z 2017 r a p. poseł Anna Rodziewicz-Schmidt używa poczty gmail.
Ciekawym aspektem jest tytułowe zdjęcie użyte przez hakerów. Nie jest łatwo znaleźć w internecie zdjecie z karabinem p. Anny Schmidt Rodziewicz . Zastanawiam się czemu akurat to zdjęcie znaleziono i wstawiono. Czy ma to być dezinformacja kierująca na fałszywy trop czy też „wskazówka” z strony hakerów ? Innych wykradzionych maili urodziwej p.poseł do tej pory hakerzy nie upublicznili a pomijam milczeniem ten filmik z hotelu na którym nie można nikogo zweryfikować na 100 %.
Czy w aferze mailowej należy brać pod uwagę tzw „wątek obyczajowy” ? Niestety muszę przyznać to z smutkiem iż tak, tą „ścieżkę” ze względu na ujawnione do tej pory zdjęcia / kompromaty/ nie należy wykluczyć.
W kontekście tej afery da się zauważyć niezwykle powolne działania choćby Służby Kontrwywiadu Wojskowego która podlega obecnemu ministrowi obrony Mariuszowi Błaszczakowi typowanemu na następcę obecnego Premiera czy też Prokuratury podległej innemu przeciwnikowi „teamu Morawieckiego” – Prokuratorowi Generalnemu i Ministrowi Sprawiedliwości Zbigniewowi Ziobrze… Nie ma też o dziwo żadnych wycieków maili dotyczących polityków Solidarnej Polski czy polityków związanych z wspomnianym wcześniej Zakonem PC mocno co tu pisać nieprzychylnemu Mateuszowi Morawieckiemu i jego szefowi Kancelarii przed którym wcześniej stała świetlana polityczna kariera…..ciekawą też rolę w tym wszystkim odgrywają ludzie blisko związani lub pracujący dla Agencji Bezpieczeństwa Wewnętrznego podległej ministrowi Mariuszowi Kamińskiemu…widać wyrażnie iż hakerzy wiedzą na bieżąco jaka jest sytuacja polityczna w Polsce i „grając” na podziały ,”dobierają” maile stosując wszystkie elementy dywersji psychologicznej o której nie raz pisałem czy to w blogach czy też na Twitterze..
Inna też ciekawą sprawą jest wpis na tej stronie pochodzący z 26.08.2021 a zawierający list o odejściu Prezesa Porozumienia który był datowany 15.08.2021. Podpisano post „Od czytelników” a ja jednak logika śledcza każe zastanawiać się kto ma dostęp do możliwości publikowania na tej stronie i kto jest tym „polskim przyjacielem” dla wspomnianego wyżej białoruskiego i rosyjskojęzycznego portalu „Tajnej Europy 2.0” na którym są rzadko publikowane tylko posty o znacznie „cięższym gatunku”, wspomniany na początku bloga artykuł redaktor Mierzyńskiej z użyciem przez hakerów hasztagu #DworczykLeaks czy tematy militarne ? Jedno jest pewne iż rosyjskojęzyczny ,białoruski portal „Tajna Europa 2.0” wymaga cały czas bacznemu przyglądaniu się.
Być może szukam niepotrzebnie „podprogowego” podtekstu do tej afery ale nie można niczego wykluczyć zwłaszcza kiedy w archiwum w Moskwie są kompromaty z filmikami ale od samego początku zwraca uwagę zastanawiając nie tylko niezwykła wprost rozpiętość i „rozrzut” tematyki i spraw ale jakikolwiek brak logicznej kolejności chronologii upublicznianych maili . Z jednej strony wiadomo iż „dozowanie” tematyki jest ściśle kontrolowane przez hakerów którzy na bieżąco śledzą nie tylko sytuację w Polsce ale też analizy ich dotyczące ale poprzez brak chronologii ukrywa się cokolwiek co pozwoliłoby wpaść śledczym instytucjom i dziennikarzom a osoby z Polski które mogą prowadzić swój wyciek korzystając z okazji iż mówi się i pisze tylko o hakerach z Białorusi czy Rosji. Nie można wykluczyć i takiej hipotezy ponieważ musi nasuwać się pytanie kto w Polsce „korzysta” i komu zależy na publikacjach z wycieku maili ?
Nigdy nie ujawniam ani zródeł niektórych swoich informacji ani wszystkich „operacyjnych” technik mojej pracy researchera ale udało się ustalić jedno z IP dla strony „Poufnej Rozmowy” : 172.67.195.30
A teraz trzeba tylko potwierdzić tą informację w innym miejscu oraz ustalić dokładną lokalizację serwera w USA .
Miasto :San Francisco
Kod pocztowy : 94107
Ulica: 107 Townsend Street a koordynaty dla satelity też są podane.
W tym budynku powinny się mieścić serwery CLOUDFLARE
No i mieszczą się, wszystko się zgadza . Umieszczanie stron na serwerach takich jak CLOUDFLARE w USA to zresztą powszechnie stosowana praktyka.
Dzięki wykreowaniu przez rosyjskie ośrodki propagandowe rzekomego „starcia” pomiędzy właścicielem –Pawłem Durowem, a Kremlem –Telegram jako niby platforma niezależna , może swobodnie działać na obszarze Rosji utrzymując tam choćby swoje serwery a rosyjskie służby specjalne i prawdopodobnie hakerzy ,mogą swobodnie realizować swoje cele przy wykorzystaniu platformy, a do tego Paweł Durow może czerpać dywidendy z ogromnego rynku państw rosyjskojęzycznych .
Bardzo też interesująca analiza ukazała się na portalu Centrum Badań nad Współczesnym Środowiskiem Bezpieczeństwa w dniu 5.07.2021 autorstwa Michała Jurka . pozwolę sobie na przedstawienie jej w całości a na dole jest link do tego artykułu.
„Białoruski” ślad w operacji dot. ataku na skrzynkę M. Dworczyka – analiza działalności ośrodka propagandowego „Belvpo.
W związku z pojawiającymi się w przestrzeni informacyjnej przekazami na temat zaangażowania źródeł białoruskich w operację dotyczącą ataku m.in. na skrzynkę ministra Dworczyka, podjęliśmy się analizy dostępnych informacji o jednym z „białoruskich źródeł” – to jest portalu „Belvpo”.
Zgodnie z uzyskanymi wnioskami portal „Belvpo” oraz prowadzony przez to środowisko kanał Telegram wydają się być środowiskiem medialnym imitującym źródło białoruskie. Warto na początku odwołać się do analizy opublikowanej już w 2016 roku przez międzynarodowe środowisko OSINT – „InformNapalm”. Zgodnie z materiałem Inform Napalm-u (pt. „BelvpoLeaks: propagandowa rezerwa przyjaciół Ruskiej Wiosny„), portal „Belvpo” został objęty działaniami OSINT ze względu na swoją aktywność skierowaną przeciwko białoruskiemu dziennikarzowi Dzianisowi Iwaszynowi (obecnie przetrzymywany w białoruskim więzieniu) oraz ze względu na zaangażowanie w proces dezinformacyjny skierowany przeciwko państwu białoruskiemu (destabilizacja sytuacji wewnętrznej w kraju) i ukraińskiemu. Wnioski uzyskane z analizy działań portalu oraz powiązań osób odpowiedzialnych za jego prowadzenie pozwalają sądzić, iż „Belvpo” stanowi element rosyjskiej sitaki portali zaangażowanych w działania, m.in. z zakresu szerzenia antyukraińskich treści propagandowych i dezinformacyjnych (realizowanych w związku z wybuchem wojny na Donbasie).
Jeśli chodzi o powiązania „Belvpo”, portal ten jest jednym z oficjalnych partnerów rosyjskiego projektu „Imperia” prowadzonego przez obywatela Białorusi, na stałe mieszkającego w Moskwie, Jurija Barańczyka. Osoba ta, jest ponadto redaktorem naczelnym jednego z rosyjskich portali informacyjnych trwale zaangażowanych w działania dezinformacyjne na kierunku polskim i ukraińskim – „Regnum.ru”. Sam projekt „Imperia” stanowi natomiast portal związany z rosyjskim ruchem nacjonalistyczno-monarchistycznym – tzw. „Czarnosoteńcy”.
Screen wykonany na portalu „Imperia”. Wśród partnerów wskazano m.in. „Belvpo”, „Regnum” i „Fundację Ruski Mir” (https://www.imperiyanews.ru).
Zgodnie z treścią wskazanej analizy wykonanej przez środowisko Inform Napalm-u, portal „Belvpo” został założony przez Igora Siniakowa (ur. 1962, wywodzącego się z rodziny rosyjskich wojskowych, mieszkającego w Mińsku, od 2005 pułkownika rezerwy) oraz Siergiej Giejstera (ur. 1960, prof. nauk technicznych, wykładowca na Katedrze Systemów Radiotechnicznych Białoruskiego Państwowego Uniwersytetu Informatyki i Radioelektroniki). Związek I. Siniakowa z portalem potwierdza m.in. wpis umieszczony na portalu „Belvpo”, w którym osobę tą określa się mianem „lidera projektu”. I. Siniakow, pomimo tego, iż został określony liderem danego środowiska nie podjął się publikowania na łamach portalu (fakt ten może wskazywać na to, iż udział tej osoby w projekcie ma jedynie charakter kreowania „Belvpo” na źródło białoruskie). O związku z portalem drugiego z mężczyzn, to jest S. Giejstera, świadczą m.in. dokumenty przedstawione w materiale InformNapalm-u. Nazwisko Giejstera pojawia się m.in. w umowie podpisanej z operatorem telekomunikacyjnym – rachunki te odnaleziono na skrzynce pocztowej „[email protected]” (materiał pozyskany w efekcie działań ukraińskich hakerów – „Ukraiński Cyber Alians”).
Numer komórkowy S. Giejstera był również związany z usługą hostingową portalu. W efekcie analizy wiadomości dostępnych na poczcie „Belvpo”, uzyskano wnioski o podjęciu przez osoby prowadzące portal decyzji o zatuszowaniu faktu powiązania S. Giejstera z „Belvpo”. W tym celu zastąpiono jego numer telefoniczny numerem innej osoby (Walentyny Torgun – ur. 16.07.1985, zam. Mińsk, osoba wydaje się być „słupem” niezwiązanym z działalnością portalu). Zmiana numeru została sprowokowana przez problemy dot. prowadzenia portalu – formalności odnoszące się do usług hostingowych. W efekcie napotkanych kłopotów, doszło do tego, iż osoby odpowiedzialne za działalność portalu musiały podjąć się falsyfikacji dokumentu notarialnego, aby poprzez ten zabieg dopełnić formalności i ponownie aktywować stronę internetową. W analizie Inform Napalm-u przedstawiono informacje dot. falsyfikacji dokumentu notarialnego poprzez skopiowanie podpisu notariusza i umieszczenie go na innych dokumentach.
Podpis na obu dokumentach dotyczących przerejestrowania domeny jest identyczny. Dokument odnosi się do nazwiska Alexander Voznicki. Jest to prawdopodobnie osoba, na którą początkowo zarejestrowano domenę, a której numer nie odpowiadał na kontakt ze strony operatora. Z tego powodu zamieniono tymczasowo numer telefonu na nr. S. Giejstera. W celu ukrycia jego związku z portalem, numer został kolejno zastąpiony numerem telefonicznym W. Trogun. Najpewniej ze względu na brak możliwości kontaktu z A. Voznickim zdecydowano się również na przygotowanie fałszywego aktu notarialnego.
Zgodnie z analizą publikacji udostępnianych przez portal, jedną z kluczowych osób wspomagających działalność „Belvpo” był obywatel Federacji Rosyjskiej, Wiaczesław Riaużin. Mężczyzna ten jest jedną z osób odpowiedzialnych za koordynowanie działań rosyjskiego ruchu nacjonalistyczno-monarchistycznego – „Ruch Narodowo Wyzwoleńczy” (tzw. „NOD”). Osoba ta znana jest ponadto z aktywnej kooperacji z rosyjskimi ośrodkami propagandowymi takimi jak News Front. W. Riaużin, w przeciwieństwie do wymienionych założycieli portalu aktywnie publikowała na łamach „Belvpo”. Jego zaangażowanie w dany projekt potwierdza tezę, zgodnie z którą „Belvpo” stanowi jedno z elementów rosyjskiej siatki portali wykorzystywanych do prowadzenia operacji wpływu m.in. przeciwko Ukrainie.
Zaprezentowane w raporcie InformNapalm-u informacje potwierdzają wcześniejsze przypuszczenia dotyczące tego, iż środowisko „Belvpo” imituje źródło białoruskie wykorzystując obywateli białoruskich do legitymizowania i prowadzenia portalu oraz konta na platformie Telegram. Powiązania oraz działalność tego źródła pozwalają identyfikować go jako element rosyjskiej siatki portali i kanałów aktywnie wykorzystywanych do prowadzenia operacji wpływu oraz działań dezinformacyjnych. Można przypuszczać, iż wskazani założyciele portalu pełnią funkcję elementu tworzenia „legendy” portalu, a za samo prowadzenie działalności tego źródła odpowiadają rosyjskie służby. Dzięki takiemu zabiegowi (imitowanie źródła białoruskiego), strona rosyjska może poprzez jego użycie kierować podejrzenia państwa, którego dotyczy dana operacja w stronę Mińska, a nie Moskwy.
Bieżąca analiza materiałów publikowanych na portalu „Belvpo” oraz materiałów udostępnianych na łamach kanału Telegram prowadzonego przez to środowisko, potwierdza wnioski przedstawione w materiale „InformNapalm”. Środowisko to przez cały czas stanowi element siatki rosyjskich źródeł aktywnie wykorzystywanych w procesie dezinformacji oraz w ramach prowadzonych operacji informacyjno-psychologicznych. Kanał Telegram prowadzony w ramach „Belvpo” aktywnie udostępnia materiały kanałów zidentyfikowanych jako trwale powiązane ze strukturami państwa rosyjskiego odpowiedzialnymi za działania propagandowe. Kanał popularyzuje nie tylko materiały dezinformacyjne, ale m.in. wpisy jednego z rosyjskich kanałów, który używany jest w ramach operacji podobnej do tej, która dotyczy „wycieków” danych ze skrzynki M. Dworczyka. Wpisy owego kanału zawierają rzekomo tajne informacje dot. ukraińskiej armii. Działalność kanału stanowi element operacji mającej na celu obniżanie morale ukraińskiej armii oraz podważanie zaufania ukraińskiego społeczeństwa do instytucji państwa oraz SZ Ukrainy.
Przykład wpisu wspomnianego kanału udostępniony przez „Belvpo”.
Portal „Belvpo” oprócz oddziaływania poprzez Telegram, prowadzi fanpage na portalu społecznościowym Facebook. Podobnie jak poprzez Telegram, przy użyciu fanpage-a popularyzowano (do 27 kwietnia – wówczas wstrzymano działalność) artykuły i wpisy konstruowane przez osoby zaangażowane w projekt „Belvpo”.
Warto w tym miejscu zaznaczyć, iż sam wygląd oraz sposób prowadzenia fanpage-a „Belvpo” przypomina wyraźnie jeden z polskojęzycznych źródeł, którego działalność prowadzona na portalu społecznościowym Facebook, również została wstrzymana w kwietniu b.r. (2 kwietnia) – „Konflikty i Wiadomości Światowe”.
Warto podkreślić, iż fanpage „Konflikty i Wiadomości Światowe” jest źródłem o charakterze ośrodka wprowadzającego do polskiej infosfery tezy i materiały zbieżne z rosyjskim przekazem propagandowym. Środowisko to przejawiło swoją szczególną aktywność w momencie eskalacji napięć w relacjach rosyjsko-ukraińskich (marzec b.r.). To wówczas zwróciliśmy uwagę na dezinformacyjny charakter tego środowiska (wpis z 15.03.2021).
Środowisko to opublikowało m.in. wpisy o zbliżającej się ofensywie wojsk Ukrainy czy o użyciu na Donbasie aparatów Bayraktar TB2. Fanpage ten brał ponadto aktywny udział w rosyjskiej operacji wpływu dot. marcowej eskalacji napięć.Na łamach „Konfliktów i Wiadomości Światowych” publikowano również szereg przekazów kreujących negatywny obraz Zachodnich szczepionek przeciwko Covid19. Udostępniano również materiały kreujące obraz panującego na Zachodzie powszechnego sprzeciwu wobec obostrzeń związanych z pandemią. Równolegle środowisko to lobbowało pozytywny obraz szczepionki Sputnik V.
Przykłady wpisów – dostrzegalne błędy fleksyjne i rzeczowe takie jak „w Nederlandii”.
Warto również zaznaczyć, iż zdarzały się przykłady publikowania w tym samym dniu tych samych materiałów zarówno przez „Bielvpo” jak i „Konflikty i Wiadomości Światowe”. Wskazane zjawisko następowało jednak w sposób sporadyczny i mogło mieć charakter przypadku. Relatywnie nieczęste pokrywanie się tematyk wpisów wynikać może z różnicy w profilu prowadzonej aktywności obu portali/fanpage-ów. „Konflikty i Wiadomości Światowe” koncentrowały się bowiem na informowaniu o wydarzeniach zachodzących na Białorusi w Rosji i na Ukrainie, natomiast „Belvpo” koncentrowało się na wydarzeniach zachodzących w krajach takich jak Polska, Litwa czy Niemcy.
Przykład publikowania podobnej treści – 15 marca. Wpis umieszczony na fanpage-a „Konflikty i Wiadomości Światowe” oraz na kanale „Belvpo” na Telegramie.
Wskazaną aktywność „Konfliktów i Wiadomości Światowych” polegającą na wprowadzaniu do polskiej infosfery przekazów zbieżnych z rosyjską propagandą uzupełniano o lobbowanie na rzecz Telegramu. Aktywność tą można łączyć z jednym z celów operacji dot. ataku na skrzynki M. Dworczyka. W jej efekcie doszło w Polsce do znacznego zainteresowania Telegramem oraz do prawdopodobnego przyrostu liczby osób korzystajacych z danej platformy.
Przykład lobbowania na rzecz Telegramu. Kreowanie platformy na „niezależną”, odporną na „Zachodnią cenzurę”.
Wskazane dane oraz wnioski pozwalają sądzić, iż działalność portalu i kanału „Belvpo” koordynowana jest przez służby rosyjskie. Przedstawione informacje pozwalają sądzić, iż zasadnymi wydają się przypuszczenia, zgodnie z którymi kanał i portal „Belvpo” pozoruje jedynie źródło białoruskie – przypuszczenia te wzbudził fakt korzystania przez portal z domeny „com”, a nie „by” oraz fakt wykorzystywania przez administratorów tego ośrodka, rosyjskiego hostingu oraz rosyjskich adresów e-mail.
„Belvpo” wydaje się być elementem rosyjskiej siatki używanej do prowadzenia operacji na kierunku ukraińskim, białoruskim oraz od 2020 roku również na kierunku polskim. Przedstawione wnioski pozwalają sądzić, iż mało prawdopodobną wydaje się być teza, zgodnie z którą operacja dot. wycieku materiałów ze skrzynki M. Dworczyka prowadzona jest przez służby białoruskie (teza ta pojawiła się w debacie publicznej bazując m.in. na informacjach o zaangażowaniu w proces kanału i portalu „Bielvpo”). Wysoce prawdopodobnym jest, iż środowisko to zostało ponadto zaangażowane w proces oddziaływania na polskie społeczeństwo (działalność ta ze względu na niską efektywność została prawdopodobnie wstrzymana w kwietniu, kiedy być może zdecydowano się na przeprowadzenie operacji dot. ataku m.in. na skrzynkę M. Dworczyka). Zasadnym wydaje się być założenie, zgodnie z którym zastosowanie „Belvpo” w procesie kolportowania materiałów odnoszących się do skrzynki M. Dworczyka, miało na celu zwrócenie potencjalnej uwagi polskich służb lub fakt checker-ów na Mińsk jako źródło operacji.
Autor: Michał Marek
fot. Komputer Świat
Tutaj link do tego artykułu.
Trochę śledczej pracy mi zajęło aby znależć serwer na którym jest archiwum „Poufnej Rozmowy” wraz informacjami kiedy poszczególne dokumenty zostały umieszczone na tym serwerze.
POUFNA ROZMOWA ARCHIWUM – Exported Data (freecluster.eu)
Mamy na nim nie tylko dokumenty niejawne umieszczane od 4.06.2021 ale też tzw kompromaty a wiec materiały o charakterze obyczajowym , zobaczcie Państwo sami. Ze względu na ochronę tajemnicy i bezpieczeństwa przedstawię z tego archiwum tylko wybrane fragmenty i to tak na wszelki wypadek gdyby przeniesiono je w inne miejsce lub skasowano usuwając w ten sposób jeden z najważniejszych dowodów przestępstwa. Mając do dyspozycji archiwum hakerów lub hakera spróbujmy chronologicznie zobaczyć ze względu na tajemnicę państwową i bezpieczeństwo narodowe jedynie niektóre fragmenty jego „zawartości” korzystając z możliwości posiadania dat i godzin umieszczenia poszczególnych plików.
Jak widać na powyższym skanie w dniu 4.06.2021 o g.14:24 umieszczono pierwszy wyciek oraz plik dotyczący wykazu służb państwowych uprawnionych do szczepień w I etapie. Proszę też zwrócić uwagę na wykorzystanie na poniższym skanie jednego z podstawowych kanonów rosyjskiej dywersji psychologicznej jaką jest brak rozróżniania czy faworyzowania jakiejkolwiek opcji politycznej. Nazwanie pliku z wykradzionymi mailami -„POLSKI SEDES” wymownie pokazuje jaki jest stosunek rosyjskich hakerów do wszystkich Polaków bez wyjątku . To też pokazuje sposób myślenia hakerów aby polaryzując krajową scenę polityczną -dzielić nas i w ten sposób dyskredytując – osłabiać Polskę .
To były niestety ale już nie są niejawne dokumenty.
10.06.2021. Godzina 9:44
29.06.2021 . Godzina 8:42
14.06.2021. Godzina 8:31
25.06.2021. Godzina 9:32
22.06.2021 .Godzina 9:56
9.07.2021. Godzina 10:01.
14.07.2021 . Godzina 8:28.
15.07.2021. Godzina 8:20 . Ten dzień w archiwum widnieje jako ostatni datowany. Są w nim 2 kompromaty .
Udało się zdobyć te niezwykle cenne i ważne informacje choć wiem iż byłaby to praca tytaniczna -„archiwum” z Moskwy choćby z wyciekiem ponad 4 tyś maili będących na pliku COMB21 z 2.02.2021 / który dotyczył wielu kont Polski. Choć nie ma żadnej gwarancji iż archiwum hakera / lub hakerów bo tego nie można wykluczyć jest w Moskwie kompletne. W tym archiwum co interesujące oprócz dokumentów o charakterze niejawnym są i było też wcześniej wiele kompromatów . Mówię tu o materiałach zdjęciowo- filmowych których skany umieściłem na końcu. Najprościej tłumacząc „kompromaty” to materiały specjalnie wytworzone a służące do szantażu ,pochodzące z głównie z nielegalnych nagrań czy podsłuchów ,najczęściej sfabrykowanych spotkań o charakterze erotyczno-seksualnym.
25.09.2022
A więc na „POLSKIM SEDESIE” był też filmik z erotycznymi tańcami ale został z jakiegoś powodu usunięty przez hakerów…
„Archiwum” to co jest też interesujące jest na serwerze …..w budynku należącym do rosyjskiego Ministerstwa Rolnictwa w Moskwie.
Na poniższym zdjęciu satelitarnym przedstawiona jest geolokalizacja tego rządowego obiektu .
A tak wygląda na satelitarnych widokach z ulicy.
To jest choćby sprytne bo nikt nie podejrzewałby akurat tamtego miejsca a prędzej już w słynnym „AKWARIUM” lub innych miejscach w Moskwie związanymi z GU /GRU/ czy SVR . Jednakże faktem jest iż choćby w Ministerstwie Rolnictwa jest specjalna komórka związana z największą oraz z najpotężniejszą służbą specjalną w Rosji – FSB czyli rosyjskim kontrwywiadem ,”monitorująca” z całą pewnością ruch sieciowy na serwerach i bez jej zgody nie byłoby możliwym umieszczenie tam archiwum hakerów choćby z „zaprzyjaznionego” ale jednak obcego państwa więc de facto jest to pierwsze prawdopodobne potwierdzenie jakichkolwiek związków białoruskich hakerów z rosyjskimi służbami…..
Nie można też wykluczyć takiej opcji iż to „archiwum” nie założyli żadni hakerzy z Białorusi a wtedy są tylko dwie opcje:
Rosjanie lub….ktoś z Polski mający jakiś stary lub nowy „układ” w rosyjskim ministerstwie rolnictwa a chcący zdyskredytować ekipę obecnego Premiera. Wskazuje bowiem na taką hipotezę nie tylko dziwna lokalizacja ale przede wszystkim „zawartość” tego archiwum.
10.12.2021. Twitter.
Informatyk i pentester Rafał Gill umieszcza co prawda techniczny wątek ale bardzo ciekawy.
O co chodzi w tym wątku ? Autor analizuje infrastrukturę ataków phishingowych i znalazł serwery hostowane w Moskwie a skonfigurowane z podpisanym cyfrowo certyfikatem „PZU„…..Ciekawe….
Zauważył też iż dla drugiego adresu IP w tzw „usłudze GOPISH” ktoś kto ją napisał musi świetnie znać popularne polskie „usługi ” / „O” , „OU” i „OOH”, emailAddress [email protected] / co doskonale widać na powyższym skanie . Według autora tego wątku „OOH” zostało użyte jako „Organizacja” dla domen zarejestrowanych w kampanii phishingowej UNC1151 GHOSTWRITER.
Wszystkie te domeny odnoszą się do „weryfikacji użytkownika lub weryfikacji bezpieczeństwa”
Te domeny już niestety nie działają ale inny interesujący fakt przedstawiony przez p. Rafała Gilla jest to iż PZU faktycznie używa GOPHISH w wewnętrznych strukturach bezpieczeństwa. Autor zwraca też uwagę iż domena „POCZTA” może odnosić się zarówno do Poczty Polskiej czy Interii zresztą to akurat popularny serwis pocztowy ale „PIS” może odnosić się do Prawa i Sprawiedliwości jak też zarówno Państwowej Inspekcji Sanitarnej.
Zaledwie kilku internautów i interesujących się informatyką przeczytało ten niezwykle interesujący wątek. Czy można uzyskać więcej informacji dotyczących tego wątku. ?
Co wiemy ?
Mamy dwie domeny 185.156.177.92 –LLC VPSVILLE / czerwona ramka / oraz 31.41.45.112 –RELINK LTD / niebieska ramka / . Obydwie domeny są połączone / zielone strzałki / z „ORGANIZATION PZU „. Wróćmy więc jeszcze raz do pierwszego skana i sprawdzmy najpierw do kogo należy „LLC VPSVILLE .”
Możemy sporo dowiedzieć się o „LLC VPSVILLE „
To satelitarna geolokalizacja LLC VPSVILLE w Moskwie.
Ustalenia p. Rafała Gilla zgadzają się a wspomniany na poniższym skanie jest nazwisko „Alexey Galaev” .który w Moskwie pod powyższym adresem dzierżawi wirtualne serwery.
A teraz sprawdzmy informację zawartą w niebieskiej ramce –RELINK LTD.
To satelitarna geolokalizacja RELINK TLD w Moskwie.
Z strony internetowej wiemy iż tu mieści się siedziba prywatnej firmy wynajmującej serwery i robiącej hosting.
Nie łudzmy się iż jakiekolwiek usługi informatyczne ,dzierżawa serwerów w Rosji a więc technologie związane z bezpieczeństwem a tym bardziej w Moskwie nie są pod ścisłą kontrolą rosyjskich służb specjalnych szczególnie FSB a to z tymi firmami jest związana „organizacja PZU„….
28.01.2022 .Na kanale Telegram gdzie jest „Poufna Rozmowa ” pojawił się taki komunikat:
31.01.2022 . Na portalu „Tajna Europa” ukazuje się wyciek prawdopodobnie niejawnych wojskowych informacji o mikrofalowym systemie neutralizacji dronów.
Ciekawe jest to iż ten artykuł był już na tym kanale w dniu 2.08.2021
W przeciwieństwie do „Poufnej Rozmowy ” kanał ten w obu językach milczy od 31.01.2022.
2.09.2022.
W tym dniu „Poufna Rozmowa” informuje iż teraz będzie publikowana zawartość skrzynki mailowej Daniela Obajtka ,byłego wójta Pcimia , niedoszłego kandydata na Premiera a w tej chwili Prezesa PKN Orlen. Można się zatem zastanawiać czy to jest zmiana taktyki hakerów czy też pozostałe maile z skrzynki Michała Dworczyka nie będą miały takiego presji medialnej .
Dlatego po wypuszczeniu tej informacji przez hakerów interesujące będą daty wykradzionych maili i czy będzie jakaś logiczna zaplanowana chronologia upubliczniania czy też jakaś inna strategia będąca śledzeniem bieżącej sytuacji i wydarzeń politycznych w naszym kraju.
To był pierwszy mail z tej „serii” prawdopodobnie upubliczniony po to aby zobaczyć reakcję polskich mediów prasowych i społecznościowych.
Mail dotyczy bratanicy Prezesa PIS a jest datowany z 2018 r.
Ten też jak spojrzymy na datę pochodzi z 2018 r.
Tutaj mamy do czynienia z innym rokiem -2020.
UWAGA – powyżej upubliczniono 3 maile które są datowane na 24.03. 2021 ! To dość istotna informacja jeżeli chodzi o chronologię wydarzeń związanych z tą sprawą.
Powyższy mail jest datowany na 2019 r ale dotyczy nowego Prezesa TVP . To potwierdzenie tego iż hakerzy śledzą na bieżąco nie tylko poprzez hasztagi -sytuację w Polsce.
Ten mail datowany na 9.08.2020 r jest znowu w serii „Daniel Obajtek„.
Ten mail datowany na 4.10.2020 jest nawiązaniem do sprawy respiratorów sprowadzonych przez „słupa” jakim dla naszych służb specjalnych był Andrzej Izdebski a więc kolejnym potwierdzeniem prób rosyjsko-białoruskiego wpływu na opinię publiczną niezależnie od jego treści.
2.09.2022.
Redaktor Anna Gilewska publikuje na Twitterze istotny wątek do którego interesujące fragmenty chciałbym Państwu pokazać i są tradycyjnie linki.
„Po tym, jak nie udało im się uzyskać dostępu do skrzynek odbiorczych Ministerstwa Obrony Narodowej, atakujący sięgnęli po niżej wiszące owoce. W ciągu 12 miesięcy zarejestrowali dziesiątki domen wykorzystywanych do prowadzenia kampanii phishingowych. Wiele z nich miało na celu kradzież haseł od użytkowników popularnych polskich serwisów pocztowych, takich jak wp.pl, interia.pl i onet.pl. Kampania okazała się zaskakująco skuteczna: kilkaset ofiar – w tym Marek Suski (członek parlamentarnej komisji wywiadu) i Dworczyk – wzięło przynętę, przekazując atakującym hasła do ich prywatnych kont e-mail.„
” Po opublikowaniu tej historii poprosiliśmy Marcina Siedlarza, eksperta z Mandiant, międzynarodowej firmy specjalizującej się w cyberbezpieczeństwie, o dodatkową analizę danych z wiadomości phishingowej.
Jego wnioski? – Wiadomość została wysłana z adresu IP użytego wcześniej w innych potwierdzonych atakach grupy UNC1151. Ta atrybucja dokonywana jest z dużą pewnością siebie – ocenia Siedlarz.
Co to oznacza? Z dużym prawdopodobieństwem możemy przypuszczać, iż ataku na skrzynkę pocztową Dworczyka dokonali białoruscy hakerzy, którzy obsługują również wielowarstwową operację cyberszpiegowską o nazwie „Ghostwriter”. W terminologii cyberbezpieczeństwa „atrybucja” oznacza akredytację określonej grupy hakerów z konkretnym cyberatakiem.”
Kiedy 24 lutego Rosja atakuje Ukrainę, portal „Poufna Rozmowa”, który od dziewięciu miesięcy zamieszcza e-maile Michała Dworczyka, nie zauważa tego. Kontynuuje swoją pracę jak zwykle, publikując nowe ekrany z e-mailami, które ujawniają, jak politycy PiS i osoby bliskie premierowi Morawieckiemu robią swoje interesy.
Tydzień po ataku rozpoczyna się kampania dezinformacyjna skoncentrowana na uchodźcach. Podejrzane lokalne grupy na Facebooku rozpowszechniają fałszywe treści przeciwko osobom o innym kolorze skóry i nieukraińskim uchodźcom, którzy przekraczają granicę polsko-ukraińską. Kiedy Pufa Rozmowa zamieszcza tekst, który mówi: „Jeśli ci dzikusi wkraczają do Polski, dni PiS są policzone”, to jego konotacje są oczywiste. W rzeczywistości jest to ekran e-maila z 2016 roku, wydobytego najprawdopodobniej ze zhakowanej skrzynki pocztowej należącej do Joachima Brudzińskiego, polityka i członka PiS. Ktoś przesłał mu wówczas grupowy e-mail pt. „Głosy Polaków/ochrona granicy z Ukrainą”.
Trzy dni później Pufa wywiesza ukraińską flagę z napisem: „Solidarność z Ukrainą”.
Za aferą hakerską w Polsce – VSQUARE.ORG
Scenariusz Ghostwriter – VSQUARE.ORG
W artykułach redaktor Anny Gielewskiej i portalu FRONTSTORY są też 2 grafiki pokazujące wykorzystywanie do własnych celów politycznych ataków hakerskich przez reżim Łukaszenki ale jedna jest szczególnie interesująca i ważna dlatego pozwolę ją sobie i Państwu pokazać.
Mail upubliczniony w serii „Daniel Obajtek ” jest z kwietnia 2021 a więc „najnowszym ” i zarazem ostatnim skradzionym mailem jest ten z 26.05.2021 którego pokazywałem Państwu na początku bloga. W dniu 28.05.2021 a więc dwa dni po tamtym mailu z całą pewnością jako pierwszy internauta- zauważyłem i zainteresowałem się „włamaniami” na konta Facebooka i Twittera –Katarzyny Kozon a 8.06.2021 opublikowałem tweeta którego po „dobrej radzie” natychmiast tak gwałtownie skasowałem iż choćby tego nie zauważyli śledczy dziennikarze z portalu Konkret 24….
To iż za atakami stali hakerzy z Białorusi i iż są powiązania z Rosją to wiemy z licznych analiz dziennikarzy śledczych ale czy dowiemy się kto korzystał z IP komputera będącego w KPRM o którym pisali informatycy z Komputer Świat i czy to ma jakikolwiek związek z śladami cyfrowymi które odkrył przypadkowo jeden z pensterów to pewnie dowiemy się po zmianie władzy.
Dziękując za uwagę zapraszam Państwa na kolejny blog z cyklu #BiałyWywiad .
Świętowit
English (US) · 
Polish (PL) · 
Russian (RU) ·