Rządowe materiały były w rosyjskojęzycznych mediach już w kwietniu. Czy zhakowano rządowy serwer?

Wiele wskazuje na to, że nieznani sprawcy uzyskali dostęp nie tylko do jego skrzynki, ale też do innego, dużo istotniejszego nośnika informacji. Z analizy plików wynika, że przynajmniej część rządowych dokumentów jest oryginalna, włamywacze ich nie sfabrykowali.

W ostatnich dniach kwietnia na białoruskich i rosyjskich portalach informacyjnych pojawiły się artykuły, w których ujawniono informacje z wykradzionych dokumentów polskiego rządu. Przedstawiano w nich propozycję reorganizacji polskiego plutonu zmechanizowanego tak, by odpowiadał standardom NATO. Autorem propozycji był płk Krzysztof Gaj, doradca ministra Dworczyka, a dokumenty ujawnił tzw. pierwszy kanał na Telegramie, który już od lutego wrzucał do sieci rządowe materiały.

Ponad miesiąc później te same dokumenty zostały opublikowane na drugim kanale Telegramu, który do dziś ujawnia tam materiały pochodzące z prywatnej skrzynki mailowej Michała Dworczyka.

Dokładna analiza wszystkich opublikowanych plików (na obu kanałach) przynosi kolejne szczegóły. Po pierwsze – pozwala udowodnić, że przynajmniej część plików jest prawdziwa, upada więc teza o fabrykowaniu dokumentów. Po drugie – pokazuje, że materiały pochodziły z różnych departamentów Kancelarii Premiera, były na różnym etapie pracy czy zatwierdzania, pochodzenie niektórych prawdopodobnie łączy się z oficjalnym, elektronicznym obiegiem dokumentów w KPRM.

Gdyby uznać, że dostęp do nich wszystkich pochodzi z prywatnego maila ministra Dworczyka, oznaczałoby to, że Dworczyk praktycznie całą dokumentację służbową obsługiwał za pomocą prywatnej skrzynki na Wirtualnej Polsce. Dokumenty są jednak na tyle zróżnicowane, że wydaje się to mało prawdopodobne.

Dużo bardziej prawdopodobna jest hipoteza, że pobrano je z innego źródła, być może z jakiegoś kancelaryjnego serwera. Czy mógł stać za tym któryś z pracowników kancelarii lub współpracujących jednostek? Mógł, choć dziś to tylko jedna z opcji, ale nawet jej potwierdzenie nie musi oznaczać, że sam pracownik ujawnia dokumenty na Telegramie.

Poważna zbieżność czasowa z wyciekiem danych z RCB

Po trzecie: żaden z dotychczas opublikowanych polskich dokumentów ani screenów maili ze skrzynki Dworczyka nie ma daty późniejszej niż 22 kwiecień 2021 roku. Wygląda to tak (przynajmniej obecnie), jakby hakerzy (sygnaliści? agenci?) utracili dostęp do danych właśnie w tym okresie.

Ta data zaskakująco zbiega się z ujawnionym 20 kwietnia wyciekiem danych osobowych ponad 20 tysięcy funkcjonariuszy z pliku pochodzącego z Rządowego Centrum Bezpieczeństwa. Wyciek ujawnił portal Niebezpiecznik.pl, po jego informacji RCB zablokowało dostęp do pliku i rozpoczęło wewnętrzny audyt. W maju podano, że był to skutek błędu jednego z pracowników, którego zwolniono z pracy, powiadomiono prokuraturę, która wszczęła śledztwo.

Informowali o tym na sejmowej komisji minister Dworczyk oraz szef RCB, płk Konrad Korpowski. W czerwcu okazało się, że pierwszemu przejęto skrzynkę mailową, a w opublikowanych na Telegramie materiałach znalazło się m.in. CV płk. Korpowskiego.

Próbujemy ustalić, czy zidentyfikowany w kwietniu wyciek danych był szerszy niż dotychczas informowano (do tej pory wciąż mówi się oficjalnie o nieuprawnionym dostępie do jednego pliku). Prowadząca śledztwo Prokuratura Okręgowa w Warszawie odmówiła jednak udzielania informacji na ten temat, ze względu na dobro prowadzonego postępowania. Na odpowiedź z RCB czekamy.

W kwietniu w tej sprawie do KPRM interpelowali posłowie: Krzysztof Gawkowski i Wiesław Szczepański. W odpowiedzi z 26 maja, której udzielił im podsekretarz stanu KPRM Jarosław Wenderlich, zwracają uwagę dwa sformułowania ministra. Z jednej strony odnosi się on do wycieku konkretnego pliku, z drugiej jednak pisze o „zablokowaniu przez RCB wszystkich potencjalnych miejsc wycieku danych” oraz o „zagrożonym środowisku informatycznym” – co może wskazywać na przynajmniej podejrzenie szerszego wycieku informacji.

Skąd wyciekł projekt ustawy?

Czy kanały na Telegramie, publikujące rządowe dokumenty i rządową korespondencję, mają coś wspólnego z incydentem w RCB? To jedno z podstawowych pytań, na które dziś powinny odpowiedzieć polskie władze. To ważne przede wszystkim dlatego, że RCB zarządza tzw. infrastrukturą krytyczną w Polsce oraz zajmuje się szeroko rozumianym zarządzaniem kryzysowym. Nieuprawniony dostęp do tego rodzaju danych realnie zagraża bezpieczeństwu państwa.

Na związek z RCB wskazuje (potencjalnie) także jeden z opublikowanych plików, jeden z najpóźniejszych, jeśli chodzi o datę powstania. To roboczy dokument projektu ustawy o wsparciu realizacji zadań państwa w przypadku wystąpienia stanu zagrożenia życia lub zdrowia ludności, opublikowany na drugim kanale Telegramu (tym związanym z włamaniem do ministra Dworczyka).

Utworzony 19 kwietnia 2021 roku, z nagłówkową datą 21 kwietnia, został pobrany przez osobę, która uzyskała dostęp do skrzynki w trakcie edycji. Można w nim znaleźć dyskusję nad nanoszonymi poprawkami, a nawet nazwiska osób recenzujących. Są to rzeczywiście istniejący urzędnicy: z Rządowego Centrum Legislacji, Ministerstwa Zdrowia, a także z RCB właśnie. Zaś sam projekt ustawy (który do dziś nie wszedł pod obrady rządu) jest najistotniejszy dla RCB, w nowy sposób określa bowiem jego zadania. Wszystko wskazuje na to, że pracownicy Rządowego Centrum Bezpieczeństwa pilotowali prace nad nim.

Przynajmniej część dokumentów jest prawdziwa

Szczegóły zachowane w innych plikach pozwalają potwierdzić ich oryginalność, co obala pojawiającą się w kręgach rządowych tezę, że dokumenty sfabrykowano. Przynajmniej niektóre z nich są prawdziwe. W metadanych (czyli technicznych danych o pliku) jednej z udostępnionych notatek, dotyczących spraw międzynarodowych, jest link, który prowadzi do źródła użytego w pliku logotypu Ministerstwa Spraw Zagranicznych. A źródłem tym jest wewnętrzny, tzw. intranetowy portal MSZ, prowadzony przez BAZI – Biuro Archiwum i Zarządzania Informacji MSZ.

Inny dokument zawiera (w metadanych) linki, prowadzące do archiwalnej wersji, niedostępnej publicznie, strony Ministerstwa Finansów, z wytycznymi dotyczącymi szacowania skutków finansowych projektowanych ustaw.

W konspektach niektórych prezentacji zapisano nazwiska urzędników przygotowujących dokumenty, akceptujących i zatwierdzających je – wszystkie nazwiska są prawdziwe i zgodne z ich funkcjami, co można potwierdzić na stronie internetowej KPRM.

Dwa pliki, prawdopodobnie autorstwa samego Michała Dworczyka, zostały utworzone wcześniej i przez innych autorów niż by wskazywała ich treść – być może minister zapisywał nową treść w starych plikach. Jeden z nich został utworzony w Ministerstwie Gospodarki (już nieistniejącym), drugi w Centrum Obsługi Administracji Rządowej.

Wszystkie te dane zebrane razem wskazują, że mamy do czynienia z plikami, które przynajmniej powstały w instytucjach rządowych. Zaś daty edycji większości świadczą, że ich treść nie była zmieniana. Czyli – czytamy prawdziwe dokumenty rządowe. Teoretycznie mogłoby się zdarzyć, że osoby, które wykradły dane, aż tak zadbały o wiarygodność materiałów, że sfabrykowały wszystko, od metadanych poczynając, na zapisie poprawek w edytowanym pliku i linkach do komputerów urzędników kończąc – ale ze względu na konieczność zachowania pełnej spójności ze strukturą urzędów i funkcjami zatrudnionych tam osób, datami tworzenia plików etc., jest to bardzo mało prawdopodobne.

Skąd pochodzą pliki dotyczące offsetu?

Ciekawy jest przypadek plików zdjęciowych, prezentujących oficjalną korespondencję amerykańskiego koncernu zbrojeniowego Raytheon z KPRM na temat offsetu Fazy I Programu Wisła. To ostatnie materiały, które do tej pory ukazały się na pierwszym kanale Telegramu. Dwa ujawnione pisma datowane są na sierpień i wrzesień 2020 r. Oba mówią o niezadowoleniu szefostwa Raytheon ze współpracy z Polską Grupą Zbrojeniową przy realizacji umowy offsetowej zawartej przez Polskę w 2018 roku.

Tym razem jednak to nie treść jest najistotniejsza. Metadane wskazują, że pierwsze strony każdego z tych dwóch dokumentów zostały zeskanowane 22 września, zaraz po wpłynięciu drugiego pisma do KPRM, a przerobione na pliki zdjęciowe dopiero w czerwcu 2021 r., tuż przed publikacją na Telegramie. Skanować mógł je tylko ktoś, kto miał dostęp do dokumentów oryginalnych, papierowych, zresztą – opieczętowanych w biurze podawczym KPRM.

Być może zeskanowano je, by zwyczajnie włączyć do urzędowego, elektronicznego obiegu dokumentów. To normalna procedura. Jednak drugie strony tych samych dokumentów nie mają śladów skanowania, czyli udostępniający te pliki miał do nich dostęp w innej wersji. Skąd ta niespójność? Trudno dziś odpowiedzieć na to pytanie.

Natomiast wiadomo, że pliki po skanowaniu w (prawdopodobnie) KPRM, w ramach elektronicznego obiegu dokumentów, powinny krążyć wyłącznie w wewnętrznej sieci intranetowej KPRM. Znów mamy dwie opcje: albo nawet tego rodzaju oficjalne materiały minister Dworczyk przesyłał na własną, prywatną skrzynkę mailową, albo też osoby publikujące te dokumenty miały dostęp do zupełnie innych nośników danych.

Szczegółowa analiza pozwala również wyjaśnić niektóre przypadki pojawienia się cyrylicy w metadanych. Można je podzielić na dwa rodzaje: jedne dotyczą wsparcia białoruskiej opozycji, drugie – wojska. W przypadku tych pierwszych sprawa jest prosta: prawdopodobnie pisał je urzędnik KPRM, który jednocześnie przygotowywał też wersje rosyjskojęzyczne niektórych dokumentów, czyli używał klawiatury z cyrylicą, być może stąd pojedyncze rosyjskie słowa w formatowaniu plików.

Druga grupa to dokumenty związane z wojskiem – cyrylica pojawia się choćby w życiorysie szefa RCB płk. Korpowskiego, ale najwięcej jest jej w metadanych prezentacji płk. Krzysztofa Gaja, doradcy ministra Dworczyka, wcześniej związanego z Antonim Macierewiczem (odszedł z wojska za antysemickie i antyukraińskie wypowiedzi). Tutaj trudno o proste wyjaśnienie. Co ciekawe, pierwszy kanał na Telegramie przetłumaczył na rosyjski prezentację płk. Gaja o reorganizacji polskiego plutonu zmechanizowanego – ale akurat w metadanych tego pliku, tłumaczonego, cyrylicy nie widać.

Materiały płk. Gaja hulały w rosyjskich i białoruskich mediach

To właśnie materiał o reorganizacji plutonu był rozpowszechniany w mediach białoruskich i rosyjskich na przełomie kwietnia i maja – z jednoznacznym wskazaniem opisywanego kanału na Telegramie jako źródła jego pochodzenia.

„Niedawno na jednym z kanałów Telegramu ukazały się materiały, zawierające propozycje doradcy premiera RP płk. Krzysztofa Gaja w sprawie reorganizacji struktury przedsiębiorstwa zmechanizowanego na BMP-1 nowej modyfikacji” – napisał w artykule z 29 kwietnia, opublikowanym na portalu Belvpo, Mikołaj Kryłow. I zamieścił grafikę, którą znamy właśnie z materiałów płk. Gaja.

Belvpo.com to białoruski portal publikujący informacje z dziedziny wojskowości, politycznie popierający administrację Aleksandra Łukaszenki.

Ta sama grafika, z polskimi napisami i tymi samymi objaśnieniami, pojawiła się w ciągu kilku następnych dni na kilkunastu portalach internetowych, głównie rosyjskich, także rosyjskich anglojęzycznych. W wielu z nich podawano link do telegramowego kanału.

Przynajmniej od tego momentu polskie władze powinny wiedzieć o wycieku rządowych informacji. Przy okazji warto zauważyć, że opisywane artykuły pojawiły się zaledwie kilka dni po ujawnieniu wycieku danych z RCB.

Ponad miesiąc później, w czerwcu, te same materiały udostępnił kanał publikujący – jak twierdzi jego twórca – materiały ze skrzynki mailowej ministra Dworczyka. Korzystał on zresztą kilkakrotnie z tego źródła – opublikował także inne dokumenty, które wcześniej znalazły się na pierwszym kanale. To wskazuje, że twórcy obu tych kanałów mają ze sobą kontakt – choć nie oznacza, że prowadzi je ta sama osoba (czy grupa osób) ani że powstały w ramach jednej operacji.

Prołukaszenkowskie źródła lubią ten kanał…

Niektóre wpisy z pierwszego kanału Telegramu rozprowadzały w sieci również inne źródła, powiązane z administracją Łukaszenki. Już wcześniej pisałam o notatce z 30 kwietnia, całkowicie dezinformującej, która w oparciu o sfabrykowane wpisy w mediach społecznościowych podawała, że polscy politycy krytykują finansowanie białoruskiej opozycji przez polski rząd.

Do stworzenia tego fake newsa wykorzystano dwa przejęte konta w mediach społecznościowych – Agnieszki Kamińskiej, prezes Polskiego Radia, oraz pracownika biura poselskiego posła Artura Szałabawki z PiS.

Tego samego dnia, 30 kwietnia, ta sama dezinformacja ukazała się na blogu slivy.news, a potem na należącym do tego samego blogera kanale telegramowym „Жёлтые СЛИВЫ”. Blogerem tym jest prawdopodobnie białoruski, prołukaszenkowski dziennikarz Aleksander Bieńko, zatrudniony w oficjalnej białoruskiej gazecie „Bialorus Siegodnia” i współpracujący przy wydawaniu gazety administracji prezydenta Łukaszenki. Fake news pojawił się również na kilku rosyjskojęzycznych blogach, na popularnej w krajach wschodnich platformie livejournal.com.

Na kanał publikujący polskie rządowe dokumenty powoływał się na Telegramie także użytkownik @nevolf. Udostępnił on wpisy o planowanym spotkaniu liderki białoruskiej opozycji Swietłany Cichanouskiej z premierem Morawieckim, informację o propozycji ułatwień przy osiedlaniu się Białorusinów w Polsce, wspomnianą wyżej dezinformację czy dokument dotyczący katastrofy smoleńskiej, o eksperymentach przeprowadzanych przez prof. Berenta.

(Na screenach poniżej wpisy po automatycznym tłumaczeniu, w oryginale są w języku rosyjskim)

@nevolf jest kolejnym w tej historii kanałem prołukaszenkowskim. Zasłynął udostępnieniem na początku maja wideo nagranego przez białoruskich funkcjonariuszy służb bezpieczeństwa z ostrym, antyopozycyjnym przekazem. Funkcjonariusz mówił tam m.in.: „To odpowiedź dla tych, którzy myślą o dokonaniu zamachu stanu na Białorusi, zniszczeniu głowy państwa i jego rodziny, grożą pracownikom wojsk wewnętrznych, żołnierzom wojsk wewnętrznych i ich rodzinom. My, bordowe berety Białorusi, prawdziwi patrioci naszego kraju, wprost i otwarcie, w siłach specjalnych i jak ludzie, mówimy wam: to się nie uda. Nie wyszło 20 sierpnia, nie zadziała teraz. Będziemy chronić nasze państwo. (…) Mówiąc najprościej, wiesz, co się stanie, jeśli choć jeden włos spadnie z głowy prezydenta lub członków jego rodziny.”

Wydaje się jasne, że jeśli jakiś kanał udostępnia jako pierwszy tego rodzaju materiał, to musi mieć związki z białoruskimi służbami.

Wabik dla służb i dwa różne źródła?

Analiza dotychczas opublikowanych materiałów i ich rozchodzenia się w sieci wskazuje, że pierwszy kanał na Telegramie rzeczywiście może być powiązany ze służbami rosyjskimi lub białoruskimi – choć niekoniecznie to one prowadzą ten kanał czy go założyły. Nie można wykluczyć hipotezy, że założenie go miało być wabikiem dla służb i innych zainteresowanych. Widać również, że twórca drugiego kanału, udostępniającego materiały z prywatnej skrzynki Michała Dworczyka, miał kontakt z osobą stojącą za pierwszym kanałem.

Wydaje się też coraz bardziej prawdopodobne, że rządowe dokumenty, publikowane od lutego, zostały wykradzione z innego źródła niż prywatna skrzynka Dworczyka. Najpoważniejsza kwestia dotyczy więc dziś ustalenia, skąd rzeczywiście pochodziły te materiały, dokąd się włamano i czy ma to jakiś związek z kwietniowym wyciekiem danych z Rządowego Centrum Bezpieczeństwa.