28 grudnia 2021

Afera mailowa: znalezione przez nas ślady prowadzą bezpośrednio do Rosji [MÓJ TEKST ROKU]

Wpisy rosyjskojęzycznego kanału na Telegramie, który publikuje materiały wykradzione z prywatnej skrzynki mailowej Michała Dworczyka, są rozprowadzane w sieci przez osoby współpracujące z rosyjską grupą medialną Patriot Media Group. Na jej czele stoi zaufany Putina, rosyjski oligarcha Jewgienij Prigożin

Poprosiliśmy autorów/autorki OKO.press, by wybrali jeden swój tekst lub podcast opublikowany w 2021 roku - najważniejszy, najtrudniejszy, najbardziej poruszający lub po prostu - we własnej ocenie - najlepszy.

Anna Mierzyńska, która w tym roku opublikowała w OKO.press ponad 70 tekstów, wybrała ten z 18 września, w którym ujawniła rosyjski trop afery mailowej #DworczykLeaks.

Dlaczego akurat ten?

Afera mailowa to jeden z najważniejszych tematów w 2021 roku w Polsce. Wciąż wypływające prywatne maile ze skrzynki szefa KPRM, ministra Michała Dworczyka, odsłaniają kuchnię polityczną rządu Mateusza Morawieckiego.

Co gorsze, ujawniają także niejawne dane na temat polskiego wojska. Polskie media rzadko o tym mówią, ponieważ te dokumenty publikuje rosyjskojęzyczny kanał na Telegramie, do którego dostęp z Polski zablokowano. Tymczasem powinniśmy mówić o tym najgłośniej - te materiały uderzają wprost w bezpieczeństwo państwa polskiego. Czyli - w nasze bezpieczeństwo.

Przez kilka miesięcy badałam, w jaki sposób te materiały są rozprowadzane w sieci. Ustaliłam wzorzec ich rozpowszechniania: jeden z najaktywniejszych kanałów, biorących udział w rozprowadzaniu, prowadzi wprost do Rosji.

Nie na Kreml, lecz do fabryki mediów rosyjskiego oligarchy Jewgienija Prigożina. Opisałam to w artykule we wrześniu, ale ten sam schemat realizowany jest do dziś.

Także do dziś jest to jedyny publicznie znany trop, pokazujący, że za aferą mailową stoją między innymi Rosjanie. Temat ten jest niechętnie podnoszony w przestrzeni publicznej, ponieważ utarło się przeświadczenie, że jeśli za aferą mailową stoją Rosjanie, to nie powinno się mówić o treści udostępnianych maili.

To nieprawda: mamy prawo mówić i pisać zarówno o tym, kto wywołał aferę mailową i kto z niej korzysta realizując własne interesy, jak i analizować ujawnioną korespondencję.

Mój tekst jest elementem większej układanki, prowadzącej do odkrycia kulis afery mailowej. Nie znamy dziś wszystkich jej elementów. Każdy dowód przybliża nas jednak do poznania prawdy.

Afera mailowa: znalezione przez nas ślady prowadzą bezpośrednio do Rosji

To wniosek z prowadzonej przeze mnie od czerwca analizy treści na platformie Telegram. Oraz pierwszy konkretny ślad, wskazujący na udział Rosji w całej operacji.

Prigożin, zwany też „kucharzem Putina” (jedna z jego firm świadczy usługi cateringowe dla najwyższych urzędników państwowych w Rosji), uważany jest za twórcę najsłynniejszej rosyjskiej fabryki trolli z Petersburga – Internet Research Agency, oraz sponsora prywatnej firmy wojskowej Grupa Wagnera (oryg. Частная Военная Компания „Группа Вагнера”). To najemnicy, świadczący „usługi wojskowe”, głównie na rzecz Kremla. Wiadomo o ich udziale w konfliktach w Donbasie, Syrii, Libii, Sudanie Południowym, Nigerii czy Wenezueli.

Prigożin jest poszukiwany przez amerykańskie FBI, między innymi za wpływanie na kampanię wyborczą w Stanach Zjednoczonych, przed wyborami prezydenckimi w 2016 roku. W marcu 2021 roku FBI wydało za nim list gończy. W 2020 Bellingcat, Der Spiegel i The Insider we wspólnym śledztwie dowiodły, że działania Prigożina są ściśle powiązane z rosyjskim Ministerstwem Obrony oraz rosyjskim wywiadem wojskowym GRU.

Moja analiza powiązań sieciowych pokazuje, że istnieje stała relacja między medialnym ekosystemem Prigożina a wyciekiem maili polskich polityków. Kanał na Telegramie, który najczęściej rozpowszechnia w sieci treści z rosyjskojęzycznego kanału SecretEU, publikującego wykradzione polskie maile, jest oficjalnym partnerem najważniejszego portalu informacyjnego, należącego do „fabryki mediów” Prigożina – RIA FAN.

Już jego nazwa - ЧВК Медиа - sugeruje zresztą związek z Prigożinem: ЧВК to skrót, używany w nazwie Grupy Wagnera, pochodzący od słów Частная Военная Компания.

Co ciekawe, sam portal RIA FAN, choć artykuły o Polsce pojawiają się na nim bardzo często, tylko trzykrotnie wspomniał o #DworczykLeaks – trzy artykuły, opublikowane między 19 a 29 czerwca, przekonują, że Rosja nie ma nic wspólnego z wyciekiem polskich maili.

Rząd wskazał Rosjan, ale nie ujawnił dowodów

8 czerwca 2021 polskojęzyczny kanał na Telegramie – Poufna Rozmowa – został zidentyfikowany jako ten, na którym publikowane są prywatne maile ministra Michała Dworczyka, szefa Kancelarii Premiera. Sam Dworczyk, a później oficjalnie cały rząd i służby stwierdzili, że mamy do czynienia z rosyjską (lub rosyjsko-białoruską) operacją, skierowaną przeciwko Polsce.

22 czerwca rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn poinformował, że za wyciek odpowiedzialna jest grupa cyberprzestępców UNC1151, która prowadzi szerszą operację zwaną Ghostwriter.

Jednostkę UNC1151 po raz pierwszy zidentyfikowała amerykańska firma Mandiant Intelligence, należąca do grupy FireEye. Z jej raportów wynika, że Ghostwriter ma na celu destabilizację sytuacji politycznej w kilku państwach Europy Środkowo-Wschodniej.

Realizuje to za pomocą:

- włamań na portale internetowe i publikowania tam sfabrykowanych „newsów”,

- tworzenia fałszywych wpisów w mediach społecznościowych na kontach osób publicznych,

- przejmowania skrzynek mailowych oraz kont za pomocą ataków phishingowych.

Przy czym firma Mandiant wielokrotnie podkreślała, że zebrała za mało dowodów na jednoznaczne powiązanie UNC1151 z Rosją, choć wiele poszlak prowadzi właśnie w tym kierunku.

W połowie lipca na zamkniętym spotkaniu z dziennikarzami w Kancelarii Premiera eksperci poinformowali, że w ramach operacji Ghostwriter zaatakowano ok. dwóch tysięcy osób, atak powiódł się wobec ponad 700 osób. 40 proc. z nich stanowili politycy, a 11 proc. – naukowcy. To oznacza, że mogły zostać wykradzione dane z maili czy z komputerów prawie 300 polityków.

Wycieki publikowane są do dziś, mimo zablokowania przez administratorów platformy Telegram, na prośbę polskiego rządu, dwóch kanałów: polskojęzycznego Poufna Rozmowa oraz rosyjskojęzycznego SecretEU. Ten drugi wykryto później – okazało się jednak, że podjął on aktywność już 5 lutego 2021 roku. Od tego momentu zamieszczał w sieci niepubliczne materiały, pochodzące z korespondencji członków polskiego rządu lub ich współpracowników.

Wojskowe raporty i dane o białoruskiej opozycji

Po blokadzie Poufna Rozmowa przestała funkcjonować na Telegramie, pojawiła się natomiast na kilku innych platformach społecznościowych, by ostatecznie otworzyć własną witrynę internetową – dziś właśnie na niej zamieszcza publikacje.

Kanał rosyjskojęzyczny, jak się okazało po kilku dniach, działał jednak dalej na Telegramie – i jest wciąż aktywny. Tyle że pozostaje niedostępny dla osób, które zarejestrowały konta, podając polskie numery telefonów. W sieciowej przestrzeni rosyjskojęzycznej jest jednak widoczny. Także ten kanał uruchomił własną stronę internetową, a na Telegramie ostatnio zamieszcza wpisy zarówno po rosyjsku, jak i ich tłumaczenia na język polski.

Publikowane na nim wykradzione materiały często mają istotne znaczenie dla bezpieczeństwa i stabilności państwa polskiego oraz jego polityki zagranicznej. Do tej pory na SecretEU ujawniono między innymi:

- pochodzące z rządowej korespondencji plany współpracy Polski z białoruską opozycją, z najgorętszego okresu protestów na Białorusi w 2020 roku, w tym dokładne opisy projektów, wraz z finansowaniem i podmiotami odpowiedzialnymi;

- dane biograficzne i zdjęcia, identyfikujące białoruskich, opozycyjnych blogerów, prowadzących anonimowe kanały w mediach społecznościowych;

- raport na temat stanu polskich wojsk pancernych, detalicznie opisujący wyposażenie, stan uzbrojenia i plany modernizacyjne;

- raport amerykańskiej fundacji Potomac z wnioskami taktyczno-technicznymi z walk na Ukrainie w 2014 roku, oraz zestawienie tym wniosków z możliwościami wojska polskiego;

- screeny maili z września 2020 roku, z których wynika, że na poziomie rządowym (z udziałem premiera) dyskutowano nad przeprowadzeniem operacji, polegającej na stworzeniu portalu z danymi osobowymi białoruskich milicjantów oraz kontaktowaniu się z tymi milicjantami telefonicznie. „Powinni wiedzieć o tym, że nie są anonimowi i zacząć się niepokoić” – tak w mailu uzasadniano potrzebę prowadzenia tego rodzaju działań wobec białoruskich funkcjonariuszy;

- raport z prób wojskowych z nowymi rodzajami uzbrojenia, produkowanego w Polsce. Próby przeprowadzano na poligonie wojskowym, w raportach podano współrzędne miejsc, w których je realizowano, ich dokładne wyniki, opisano pojawiające się problemy.

Wszystkie te informacje mają pochodzić z prywatnych (nie służbowych!) skrzynek mailowych, przede wszystkim ze skrzynki ministra Dworczyka. Nie wiemy, które z prezentowanych maili, notatek i raportów są prawdziwe, a które (jeśli w ogóle) zostały sfabrykowane czy zmanipulowane. Osoby, których korespondencja jest ujawniana w sieci, nie komentują tych publikacji. Jednocześnie jednak żaden z opisanych tu dokumentów nie został zdementowany jako nieprawdziwy.

Kto rozpowszechnia wpisy z SecretEU?

Mimo wskazywania na udział Rosji w #DworczykLeaks, do tej pory nie przedstawiono publicznie dowodów na związki tego państwa z tą operacją. Jednak analiza rozchodzenia się treści z kanału SecretEU na Telegramie stworzyła nowe możliwości.

Za pomocą narzędzia do monitoringu tgstat.ru od czerwca analizowałam, jakie kanały i jak szybko rozpowszechniają wpisy z SecretEU. Kanał ten nie jest zbyt popularny - ma 1,4 tys. subskrybentów, nowe wpisy publikuje rzadko, 1-2 razy w tygodniu. W sierpniu publikacji było jeszcze mniej – zazwyczaj jedna tygodniowo. Od września ich liczba znowu wrosła.

Niewielki sieciowy ruch pozwolił na precyzyjniejszą analizę powiązań na platformie. Po sprawdzeniu kolejnych wpisów okazało się, że istnieje kanał na Telegramie, który jest najbardziej zaangażowany w szerzenie treści z SecretEU. Co więcej, na podstawie jego repostów (czyli podań dalej wpisów z kanału) można ustalić wzorzec rozprowadzania treści.

Ten kanał to @chvkmedia, nazwa rosyjska: ЧВК Медиа. Przypomnijmy: ЧВК Медиа - to skrót, używany w nazwie Grupy Wagnera, pochodzący od słów Частная Военная Компания.

Udostępnia on posty z SecretEU od samego początku, dokładnie od 10 lutego (SecretEU powstał 5 lutego). Do tej pory zrobił to aż 41 razy, z czego 23 razy od 23 czerwca (to data, od której prowadzę dokładną analizę rozchodzenia się treści).

Od tego momentu dziesięć razy repost pojawił się w czasie krótszym niż 30 minut od pierwotnej publikacji na SecretEU, w tym pięć razy dosłownie w ciągu kilku minut. Na przykład:

- 15 września: post SecretEU został opublikowany o godz. 10:15, drugi z polską wersją o 10.26, ЧВК Медиа podał go dalej o godz. 10.28;

- 25 sierpnia: post SecretEU opublikowano o godz. 14:12, ЧВК Медиа podał go dalej o godz. 14:18;

- 11 sierpnia: post SecretEU opublikowano o godz. 13:22, ЧВК Медиа podał go dalej o godz. 13:27;

- 20 lipca: post SecretEU opublikowano o godz. 12:06, ЧВК Медиа podał go dalej o godz. 12:21;

- 6 lipca: post SecretEU opublikowano o godz. 13:46, ЧВК Медиа podał go dalej o godz. 13:47.

ЧВК Медиа regularnie rozpowszechnia te treści

Zbieżność godzin publikacji i repostowania ma duże znaczenie przy niewielkim ruchu na koncie. Można to było zaobserwować zwłaszcza w sierpniu – przy niektórych wpisach ЧВК Медиа był jedynym kanałem, który podawał dalej treści z SecretEU, nie było żadnych innych repostów. Nowe publikacje pojawiały się wówczas na SecretEU rzadko i nieregularnie, w różnych dniach tygodnia, o różnych porach. Tak jest do dziś.

Kto był w stanie, wielokrotnie, w krótkim czasie od publikacji, podać taki niespodziewany post dalej? Teoretycznie są trzy możliwości:

- ktoś, kto wiedział wcześniej o publikacji na SecretEU (albo sam zamieścił tam nowy wpis);

- ktoś, kto ustawił sobie powiadomienia o nowych publikacjach na tym kanale i komu zależy na rozpowszechnianiu tych publikacji w sieci;

- zaprogramowany bot, który automatycznie pobiera nowe wpisy z konkretnego kanału i podaje je dalej. Tyle że bot pracuje według algorytmu, w jego działaniu widać więc pewne regularności, na przykład podobny odstęp czasowy od publikacji pierwotnej do repostu, repostowanie każdego wpisu z danego kanału, i tym podobne. Szczegółowa analiza repostów na ЧВК Медиа nie wykazuje jednak żadnych tego rodzaju regularności.

Pozostają więc tylko dwie pierwsze możliwości. Oznacza to, że albo prowadzący ЧВК Медиа wiedzą o publikacjach na SecretEU, być może sami je tam zamieszczają, albo przynajmniej regularnie zajmują się ich rozprowadzaniem w sieci.

ЧВК Медиа nie jest jedynym kanałem Telegramu, który wielokrotnie repostował wpisy SecretEU (o innych później). Na pewno jednak robił to najczęściej. Komu zależy na rozpowszechnianiu danych z wykradzionej korespondencji polskiego rządu?

To kanał powiązany z siatką Prigożina

Okazuje się, że kanał ЧВК Медиа należy do oficjalnych partnerów rosyjskiego portalu riafan.ru – jest wymieniany na stronie jako jeden z kilkunastu Telegramowych blogerów, współpracujących z portalem. ЧВК Медиа przypisano autorstwo aż 46 publikacji na RIA FAN, znaczna ich część dotyczy „świata cyberwojny” oraz konfliktów międzynarodowych.

RIA FAN to flagowy projekt konglomeratu medialnego Patriot Media Group. Na czele rady powierniczej tego podmiotu stoi Jewgienij Prigożin, twórca słynnej rosyjskiej fabryki trolli. Według autorów raportu organizacji Alliance for Securing Democracy na temat Patriot Media Group, ta grupa medialna powstała, gdy platformy społecznościowe pod naciskiem polityków wielu państw zaczęły skutecznie blokować aktywność fałszywych kont w sieci.

Utrudniło to działanie typowym trollom i zmusiło właścicieli fabryki trolli do rozbudowania zestawu narzędzi sieciowego wpływu na opinię publiczną. Fabryka trolli ewoluowała więc w fabrykę mediów, która zatrudnia – jak piszą autorzy raportu - „cały arsenał przyjaznych Kremlowi kanałów na platformie Telegram, stwarzających wrażenie, że obiektywnie informują o wydarzeniach.”

W raporcie szczegółowo opisano ów Telegramowy ekosystem. Na przedstawiającej go grafice, na samym środku znajduje się interesujący nas kanał: @chvkmedia - ЧВК Медиа.

RIA FAN – nie tylko generowanie treści

Według publikacji niezależnego rosyjskiego portalu RBC, do Patriot Media Group należy także kilkanaście innych witryn, np. rueconomics.ru, nation-news.ru, polit.info, kievsmi.net, newinform.com, politexpert.net.

Łączna, miesięczna liczba użytkowników wszystkich związanych z Patriot Media Group portali przekracza 26 milionów. Już w 2016 roku BBC informowało, że witryny te mogą rozpowszechniać fake newsy i zmanipulowane informacje.

Jednak, jak podawał w marcu 2021 r. niezależny portal rusmonitor.ru, „flagowym projektem medialnym Jewgienija Prigożyna była i jest Federalna Agencja Informacyjna Federacji Rosyjskiej - RIA FAN”.

Co istotne, jej pracownicy mają być wykorzystywani przez Prigożyna nie tylko do generowania treści. „Dziennikarze RIA FAN mieli za zadanie zająć maksymalną liczbę miejsc na sali sądowej, gdzie odbywała się rozprawa w sprawie pozwu Prigożyna przeciwko platformie Yandex, o prawo do bycia zapomnianym. Chodziło o to, by uniemożliwić dziennikarzom z innych mediów wejście na salę. Takie »dziennikarskie projekty« nadzorował oficjalny dyrektor RIA FAN Jewgienij Zubariew.”

Natomiast prezesem Patriot Media Group jest Nikołaj Stolarczuk, były szef partii Młoda Rosja. „Zarówno Stolarczuk, jak i Zubariew oficjalnie zaprzeczają finansowaniu grupy medialnej przez Jewgienija Prigożyna, choć Prigożyn jest wymieniony na stronie internetowej jako przewodniczący rady powierniczej tej grupy.”

Patriot Media Group została oficjalnie zarejestrowana pod adresem Primorsky Prospekt 78 w Petersburgu. Znajduje się tam osiedle Lakhta Plaza, wybudowane przez Concord Management and Consulting, firmę należącą do Prigożina.

Pod tym samym adresem wcześniej zarejestrowana była firma Internet Research Agency, znana jako fabryka trolli. Właśnie dlatego w amerykańskim śledztwie, dotyczącym zaangażowania Rosjan w kampanię prezydencką, wątek dotyczący trolli Prigożina nosił nazwę „projekt Lakhta”. Dziś FBI oferuje 250 tys. dolarów nagrody za informacje, które pomogą w aresztowaniu oligarchy.

Według BBC jest on poszukiwany przez amerykańskie służby nie tylko z powodu zarzutów dotyczących kampanii prezydenckiej – chodzi także o działania wojskowe Grupy Wagnera.

W sieci służb bezpieczeństwa

Analizując strukturę powiązań sieciowych zwróciłam uwagę również na inne kanały, rozpowszechniające wpisy SecretEU. Na drugim miejscu pod względem liczby repostów, za ЧВК Медиа, znalazł się kanał Belarusimir (22 reposty), a na trzecim - Nevolf (12 repostów).

Belarusimir to rodzaj agregatora newsów - kanał, który podaje dalej wpisy z innych źródeł, zbierając w jednym miejscu najważniejsze informacje. Zwraca uwagę dobór repostowanych kanałów – wszystkie związane są (oficjalnie lub nieoficjalnie) ze służbami bezpieczeństwa, białoruskimi i rosyjskimi, lub z administracją któregoś z tych państw. Można powiedzieć, że mamy do czynienia z agregatorem newsów z Telegramowego ekosystemu „siłowików” – czyli kanałów powiązanych ze służbami.

Jest ich na Telegramie naprawdę dużo, jednym z nich jest Nevolf, który zasłynął udostępnieniem video, nagranego przez białoruskich funkcjonariuszy służb bezpieczeństwa, z ostrym, antyopozycyjnym przekazem. Białoruska opozycja wprost wiąże ten kanał ze służbami Łukaszenki.

Nevolf pierwsze posty z kanału SecretEU rozprowadzał już w kwietniu, kolejne w czerwcu i lipcu, ostatni – 3 września. Miał jednak długie przerwy w tej aktywności, a jego reposty były nieregularne – raz podawał wpisy jako pierwszy, inne pomijał lub podawał po wielu godzinach. To odróżnia go od ЧВК Медиа.

Zwraca uwagę jeszcze jeden, specyficzny kanał - OMONMoscow. Co prawda repostował on wpisy SecretEU tylko dwa razy, za to były to posty istotne: jeden dotyczył ujawnienia tożsamości białoruskich blogerów opozycyjnych, drugi wyrażał wsparcie dla zablokowanego (po interwencji polskiego rządu) kanału polskojęzycznego Poufna Rozmowa (ten repost później zniknął z kanału, zachował się jednak w narzędziach monitorujących).

Na co dzień OMONMoscow publikuje materiały, wskazujące na to, iż osoba prowadząca kanał ma bezpośredni i bieżący kontakt z rosyjskim OMON-em, czyli z rosyjskimi siłami specjalnymi.

Ślady coraz bliżej Kremla?

Mamy więc taką sytuację: kanał na Telegramie ЧВК Медиа, oficjalnie powiązany z flagowym portalem grupy Prigożina RIA FAN, rozpowszechnia w sieci treści z kanału SecretEU, który publikuje maile, wykradzione z prywatnej korespondencji polskich polityków.

ЧВК Медиа robi to regularnie, częściej niż inne kanały, wielokrotnie repostując źródłowe publikacje jako pierwszy, a czasami jako jedyny. W 10 przypadkach zrobił to w bardzo krótkim czasie.

Z międzynarodowych raportów wiemy, że grupa medialna Prigożina (z RIA FAN na czele) powstała na bazie istniejącej wcześniej fabryki trolli, oraz że ten rosyjski oligarcha współpracuje z Kremlem i z rosyjskim wywiadem wojskowym GRU. Wśród innych kanałów, aktywnie dystrybuujących wpisy z SecretEU, także widoczne są kanały powiązane ze służbami bezpieczeństwa Rosji i Białorusi.

Opisane sieciowe ślady prowadzą nie tylko do szeroko rozumianej Rosji, ale wprost do współpracowników rosyjskiej administracji państwowej. Jednocześnie wciąż nie wiemy, kto stoi za polskimi publikacjami, prezentującymi maile Michała Dworczyka.

Udostępnij:

Anna Mierzyńska

Analityczka mediów społecznościowych, specjalizuje się w analizie dezinformacji. Z OKO.press współpracuje od 2017 roku. Autorka książki "Efekt niszczący. Jak dezinformacja wpływa na nasze życie".

Komentarze

Komentarze będą wkrótce dostępne