17 września 2022

Ulica Bandery w Warszawie i wyłapywanie ukraińskich poborowych - to fałszywki rosyjskiego Ghostwritera

Cyberoperacja Ghostwriter - której częścią jest polska afera mailowa - trwa. Hakerzy włamują się na konta polskich użytkowników, zamieszczają tam fake newsy, które potem rozpowszechniają w sieci. Ostatni atak miał miejsce w sierpniu. Zbadał go DFRLab - i znalazł nowe poszlaki wiążące Rosję z Ghostwriterem

Mamy kolejny argument za tezą, że autorów polskiej afery mailowej, która jest częścią Ghostwritera, należy szukać na Wschodzie. Ustalenia wszystkich dotychczasowych śledztw sieciowych prowadzą bowiem do wniosku, że do przeprowadzenia tej operacji wykorzystano między innymi dużą, rosyjską siatkę współpracujących ze sobą kont i kanałów.

Od wybuchu wojny w Ukrainie, sfałszowane dokumenty, podpisane przez członków polskiego rządu lub polskich dowódców, często pojawiają się w mediach społecznościowych. Jednak materiały rozpowszechniane w czerwcu i sierpniu okazały się wyjątkowo ciekawe badawczo, dlatego warto im się przyjrzeć.

17 czerwca rosyjski kanał Joker DNR (Джокер ДНР) z platformy Telegram - na którym zamieszczane są przede wszystkim antyukraińskie fałszywki - opublikował fałszywy list, napisany rzekomo przez ministra spraw zagranicznych Ukrainy Dmytro Kulebę do polskiego ministra Zbigniewa Raua.

Fałszywka (zdementowana przez stronę polską jeszcze tego samego dnia) zawierała prośbę do rządu RP o przekazanie informacji na temat przebywających na terenie Polski Ukraińców płci męskiej, w wieku 18-60 lat, „w celu ich powrotu na Ukrainę”.

Po kilku godzinach na tym samym kanale pojawiły się screeny z facebookowego konta Cezarego Nobisa, radnego PiS z powiatu radomskiego, z trzema innymi sfałszowanymi pismami na ten sam temat. Zawarto w nich informacje, że polskie urzędy będą poszukiwać Ukraińców, którzy unikają służby w ukraińskim wojsku.

Jedno pismo sfałszowano, używając podpisu marszałka województwa mazowieckiego Adama Struzika (urzędowe dementi można przeczytać tutaj), w drugim podszyto się pod wiceministra spraw zagranicznych Marcina Przydacza, w trzecim – pod Konsula Generalnego Ukrainy w Krakowie Wiaczesława Wojnarowśkyja.

Cykl „SOBOTA PRAWDĘ CI POWIE” to propozycja OKO.press na pierwszy dzień weekendu. Znajdziecie tu fact-checkingi (z OKO-wym fałszometrem) zarówno z polityki polskiej, jak i ze świata, bo nie tylko u nas politycy i polityczki kłamią, kręcą, konfabulują. Cofniemy się też w przeszłość, bo kłamstwo towarzyszyło całym dziejom. Będziemy rozbrajać mity i popularne złudzenia krążące po sieci i ludzkich umysłach. I pisać o błędach poznawczych, które sprawiają, że jesteśmy bezbronni wobec kłamstw. Tylko czy naprawdę jesteśmy? Nad tym też się zastanowimy.

Mandiant: to znowu Ghostwriter

Mechanizm działania był identyczny z tym, który znamy z operacji Ghostwriter w Polsce: hakerzy włamują się na konta w mediach społecznościowych, publikują na nich nieprawdziwe wpisy (czasem zawierające sfałszowane dokumenty), po publikacji robią zrzuty ekranu i tak powstałe screeny rozprowadzają w sieci.

W ten sposób zaczęła się przecież afera mailowa – o wykradzeniu korespondencji ministra Dworczyka dowiedzieliśmy się z postu, zamieszczonego na zhakowanym koncie żony Dworczyka na Facebooku.

Właśnie identyczny sposób działania sprawił, że fałszywkom z kanału Joker DNR przyjrzeli się w czerwcu eksperci z amerykańskiej firmy Mandiant, specjalizującej się w cyberbezpieczeństwie. To oni jako pierwsi zidentyfikowali operację Ghostwriter, a potem powiązali ją z rządem białoruskim.

Teraz ustalili, że dzień wcześniej, 16 czerwca, inny kanał na Telegramie – Beregini – należący do znanej prorosyjskiej grupy hakerskiej, także opublikował sfałszowany dokument na temat wyłapywania Ukraińców w Polsce. Tym razem pod podrobionym pismem użyto podpisu ukraińskiego ministra obrony Ołekisja Reznikowa.

„Posty z 16 i 17 czerwca są częścią operacji Ghostwriter” – stwierdzili eksperci z Mandiant. Cytujący ich portal Cyberscoop zamieścił także wypowiedź Johna Hultquista, wiceprezesa Mandiant, które podkreślił, że chociaż wcześniej firma przypisywała operację Ghostwriter rządowi Białorusi, to nigdy nie wykluczała udziału Rosji.

Na duże prawdopodobieństwo zaangażowania Rosji w działania Ghostwritera zwracali uwagę także eksperci amerykańskiej firmy wywiadowczej Recorded Future.

Kolejne fałszywki były w sierpniu

Dwa miesiące później pojawiły się kolejne fałszywki. 16 sierpnia Joker DNR opublikował list, znów podpisany przez ukraińskiego ministra Kulebę i adresowany do polskiego MSZ, tym razem zawierający prośbę o zmianę nazwy warszawskiej ulicy, przy której znajduje się siedziba Ambasady Federacji Rosyjskiej: z Belwederskiej na Stepana Bandery.

Bandera to przywódca Organizacji Ukraińskich Nacjonalistów (OUN-B), której zbrojnym ramieniem była Ukraińska Powstańcza Armia odpowiedzialna za masakrę Polaków na Wołyniu w 1943 roku. Ktokolwiek fałszował ów list, musiał znać nastawienie Polaków do Bandery i wiedzieć, że jego nazwisko zawsze wywołuje gwałtowne sprzeciwy.

Dzień później ten sam kanał opublikował nowy dokument – tym razem fałszywe pismo polskiego wiceministra spraw zagranicznych Marcina Przydacza. Miała to być reakcja MSZ na prośbę Kuleby. Według fałszywki Przydacz miał:

- Zlecić prezesowi IPN wydanie pisemnej opinii w sprawie zmiany nazwy ulicy oraz zorganizowanie spotkań z naukowcami w celu popularyzowania wizerunku Bandery jako bohatera Ukrainy;

- Zlecić dyrektorowi CBOS-u realizację sondażu w sprawie „udzielenia kompleksowej pomocy Ukrainie”;

- Przekazać prezydentowi Warszawy, że „należy rozważyć możliwość podjęcia decyzji o przemianowaniu ulicy Belwederskiej w Warszawie”.

Choć składnia tekstu bliższa jest składni rosyjskiej niż polskiej, to jednak – znów – musiał go pisać ktoś nieźle zorientowany w strukturze polskiej administracji publicznej. Minister Przydacz na Twitterze zdementował istnienie takiego dokumentu.

View post on Twitter

Do pisma dodano kolejne screeny z Facebooka. Tym razem włamano się na konta Piotra Górki, historyka, oraz Dariusza Walusiaka, filmowca, i tam opublikowano fałszywe pisma.

Z konta Walusiaka rozpowszechniano wrzutkę dalej, do znajomych filmowca. Kanał Joker DNR pokazał nawet filmiki dowodzące, że pokazuje prawdziwe posty na Facebooku, a nie sztucznie wygenerowane grafiki. W ten sposób starano się uwiarygodnić fejkowe materiały.

Linki prowadzą do grupy Jewgienija Prigożina

Joker DNR to kanał, który działa od marca 2022 roku. Jego poprzednia wersja została zablokowana, ale wciąż istnieje tak zwany kanał zapasowy, na którym znajdują się kopie wszystkich jego wpisów.

Informacje, z reguły fałszywe, dotyczące Polski pojawiały się tam dość często. W jednej z nich dowodzono, że w grudniu 2020 roku Amerykanie przez Polskę przerzucali do Kijowa sprzęt i pieniądze w celu „zorganizowania akcji protestacyjnej na granicy z Białorusią i Rosją”.

W innej, z marca 2022 (były to pierwsze tygodnie wojny) – że wysocy oficerowie ukraińskiej armii właśnie uciekli do Polski. W kolejnej – że w Polsce istnieje baza wojskowa, nadzorowana przez USA, w której szkoleni są najemnicy z Gruzji, chętni do walki z Rosją.

Najciekawszą informację, związaną z tym kanałem, podał jednak autor raportu amerykańskiego think tanku DFRLab Givi Gigitashvili. Sprawdził on, kto najczęściej rozpowszechniał na Telegramie wpisy z publikujących fałszywki kanałów Joker DNR i Beregini.

Okazało się, że „najlepszym wzmacniaczem” ich treści był inny rosyjski kanał ChWKMedia. Ten sam, który - według mojego wcześniejszego śledztwa - najczęściej rozprowadzał w sieci także treści z rosyjskiego konta SecretEU, będącego częścią polskiej afery mailowej!

Jak wyliczył Gigitashvili, w okresie od 2 marca do 18 sierpnia 2022 ChWKMedia podało dalej wpisy Beregini prawie 500 razy, a z kanału Joker DPR (który publikuje rzadziej) – 198 razy.

Dlaczego to ważne ustalenie? Ponieważ kanał ChWKMedia prowadzi wprost do Rosji. Jest powiązany z rosyjskim portalem informacyjnym RIA FAN, który należy do Patriot Media Group – medialnej spółki, której radą powierniczą zarządza Jewgienij Prigożin.

Ten rosyjski oligarcha, nazywany również „kucharzem Putina” (wzbogacił się na cateringu dostarczanym do rosyjskich instytucji), stał za najsłynniejszą rosyjską fabryką trolli Internet Research Agency, odpowiadającą za sieciową dezinformację w czasie kampanii prezydenckiej w Stanach Zjednoczonych w 2016 roku.

Poza tym uważany jest powszechnie za sponsora prywatnej firmy wojskowej „Grupa Wagnera”, znanej jako ChWK Wagner (ChWK, CzWK – to skrót od rosyjskich słów „czastnaja wojennaja kompania”. Został użyty także nazwie opisywanego kanału na Telegramie).

Wagnerowcy realizują odpłatnie operacje militarne, głównie na zlecenie Kremla, których oficjalnie nie może zrealizować rosyjska armia. Żołnierze tej grupy zostali oskarżeni o zbrodnie wojenne w Afryce, Ukrainie i Syrii. W czasie obecnej wojny, według doniesień „The Times”, zlecono im zamordowanie w Kijowie prezydenta Ukrainy Wołodymyra Zełenskiego. Na szczęście nie zdołali wykonać zlecenia.

Operacja z Rosji

Od kilku tygodni zachodnie media informują, że Prigożin zwiększa liczebność Grupy Wagnera (która bierze udział w wojnie po stronie Rosji), werbując do niej skazanych z rosyjskich więzień. Tym, którzy dołączą do rosyjskiej armii i przetrwają na froncie sześć miesięcy, Prigożin obiecuje ułaskawienie. Pisała o tym procederze w OKO.press Masza Makarowa:

14 września współpracownicy opozycjonisty Aleksieja Nawalnego opublikowali nagranie z kolonii karnej, w którym mężczyzna przypominający Prigożina (nagranie ma niedostateczną jakość, by jednoznacznie potwierdzić tożsamość) werbuje więźniów na front. Zapytana przez ludzi Nawalnego, czy to był Prigożin, powiązana z oligarchą firma Konkord nie zaprzeczyła.

Powiązanie nowych działań, realizowanych w ramach operacji Ghostwriter, z kanałami prowadzącymi do medialnej grupy rosyjskiego oligarchy Prigożina, to kolejny dowód na to, że operacja ta jest realizowana przez Rosję. Z wcześniejszych ustaleń wiemy, że także przez Białoruś. Prawdopodobnie współpracowały przy niej (i współpracują) służby obu państw. Częścią tej operacji jest polska afera mailowa.

Każde kolejne odkrycie na jej temat podważa popularną w Polsce teorię, iż afera mailowa jest wewnętrzną, polską rozgrywką. Każda kolejna poszlaka prowadzi bowiem na Wschód.

Udostępnij:

Anna Mierzyńska

Analityczka mediów społecznościowych, specjalizuje się w analizie dezinformacji. Z OKO.press współpracuje od 2017 roku. Autorka książki "Efekt niszczący. Jak dezinformacja wpływa na nasze życie".

Komentarze

Komentarze będą wkrótce dostępne