Hasła do maili Dworczyka i jego rozmówców ujawniono w sieci w lutym. To było źródło #DworczykLeaks?

Afera mailowa, czyli sprawa wycieku maili i niepublicznych dokumentów polskiego rządu wciąż się rozrasta. Okazało się, że na Telegramie, ale także na Facebooku działa trzeci, rosyjskojęzyczny kanał, który już w lutym prezentował dokument, stworzony (podobno) przez urzędników polskiego rządu.

Wszystkie te wycieki, kanały na Telegramie, publikowane przez rosyjskie i białoruskie media artykuły z materiałami z Polski mogą mieć jeden wspólny początek, niekoniecznie rosyjski.

Zaczęło się 5 lutego

Im głębiej analizuję wyciek rządowych dokumentów i maili, tym więcej niespójności widzę w pojawiających się informacjach.

Zupełnie jakbyśmy nie umieli znaleźć wspólnego mianownika dla całej historii – poza wskazywaniem na Rosję, które niestety nie pasuje do wszystkich elementów tej cyber-układanki.

Oświadczenie ABW i SKW, opublikowane 22 czerwca, także nie odpowiada na najważniejsze pytania.

Ponieważ chaos informacyjny narasta, zacznijmy od uporządkowania tego, co już wiadomo.

5 lutego 2021 roku na platformie Telegram powstał kanał, który zaczął publikować nieznane wcześniej dokumenty polskiego rządu. Twórca kanału komentował dokumenty po rosyjsku, niektóre tłumaczył. Nie udostępniał nowych materiałów zbyt często – mówimy o kilkunastu plikach, opublikowanych do 15 czerwca (od tego czasu nie pojawił się żaden nowy wpis).

Jak wynika ze zrobionego przeze mnie monitoringu sieci, część opublikowanych tam dokumentów, dotyczących planów reorganizacji plutonu pancernego, autorstwa płk. Krzysztofa Gaja, doradcy ministra Dworczyka, wcześniej związanego z Antonim Macierewiczem, na przełomie kwietnia i maja zostały wykorzystane w publikacjach wielu białoruskich i rosyjskich portali – ze wskazaniem kanału na Telegramie jako źródła.

30 kwietnia ukazała się tam dezinformacyjna notatka - w pełni sfabrykowana, dotycząca nieprawdziwej krytyki polskiego rządu w sprawie wspierania białoruskiej opozycji. Jej wiarygodność miały budować fałszywe polskojęzyczne wpisy w mediach społecznościowych, z załączonym zdjęciem dokumentu na temat utworzenia Fundacji Dyplomacji Narodowej.

Fundacja miała powstać, by wspierać w Polsce białoruskich opozycjonistów. Z dokumentu można wyczytać, że napisał go Karol Kotowicz, sekretarz dyrektora Centrum Informacyjnego Rządu. Nic tego jednak nie potwierdza. Na zdjęciach było widać nie dokumenty, lecz dwie zwykłe kartki z wydrukowanym tekstem, bez pieczątek, podpisów, nagłówka z danymi, adresu odbiorcy. Coś takiego mógł napisać każdy.

Jeszcze jeden kanał: @Ludazhor

Nie wiedzieliśmy tego do tej pory, ale już 8 lutego (półtora miesiąca przed opublikowaniem opisanej wyżej notki, trzy dni po powstaniu wspomnianego kanału na Telegramie) inny kanał na tej samej platformie, o nazwie Людажор (@Ludazhor), pokazał ten sam dokument, tyle że w innej formie.

To były dwa zdjęcia smartfona, na którego ekranie prezentowano mail, rzekomo pochodzący ze skrzynki Karola Kotowicza. Tekst widoczny na smartfonie pokazano w ten sposób, że nie wiadomo, czy to rzeczywiście mail, czy tylko otwarty plik tekstowy. Telefon trzyma (prawdopodobnie) kobieca dłoń.

Ludazhor napisał, że dokumentem miał się pochwalić sam Kotowicz. Według niego Kotowicz nie zachował czujności podczas zagranicznego wyjazdu, pił alkohol w towarzystwie, zasnął z odblokowanym telefonem i to właśnie zostało wykorzystane.

Ta opowieść nie musi mieć nic wspólnego z rzeczywistymi wydarzeniami. Podkreślmy – prezentowany „dokument” nie zawiera nic, co by uwiarygadniało jego pochodzenie, podobnie jest z serwowaną opowieścią. Dlatego ważne informacje, które wynikają z wpisu @Ludazhora, nie dotyczą części obyczajowej. Kluczowe są dwie kwestie:

1. 5 lutego pojawiło się pierwsze rosyjskojęzyczne źródło, ujawniające rządowe dokumenty z Polski. A już 8 lutego podobną wiedzą (choć innym dokumentem) pochwaliło się drugie źródło na Telegramie, także rosyjskojęzyczne.
2. Wiemy, kim jest @Ludazhor.

To białoruski dziennikarz, wspierający Łukaszenkę

Kanał @Ludazhor prowadzi Юрий Терех (Jurij Tierech). Wcześniej białoruski przedsiębiorca (przynajmniej oficjalnie), od kilku lat bloger, od niedawna publicysta głównej, białoruskiej państwowej gazety „Sovetskaya Belorus - Belarus Segodnya”, popierającej administrację Aleksandra Łukaszenki i atakującej opozycję.

Blog Tierecha w opozycyjnych białoruskich zestawieniach został uznany za jeden z najbardziej kontrowersyjnych i najsilniej dzielących Białorusinów. Jednocześnie Tierech otrzymał prestiżową, oficjalną nagrodę „Złotego Żubra”, przyznawaną najlepszym dziennikarzom Rosji i Białorusi za wkład w budowanie dobrych relacji obu państw.

Tierech pisze także bardzo specjalistyczne artykuły, dotyczące działalności służb oraz wojny informacyjnej w sieci, na przykład:

• Jak działają współcześni szpiedzy https://www.sb.by/articles/vizg-tishiny.html),
• Jak na kanałach na Telegramie szkoleni są ekstremiści https://www.sb.by/articles/pod-chernym-flagom-44.html
• Jak powstają „informacyjne bomby” https://www.sb.by/articles/bomby-informatsionnoy-voyny.html
• Jakie są metody nękania ludzi https://www.sb.by/articles/o-metodologii-ugroz-i-travle-lyudey.html

Jak na niedawnego przedsiębiorcę ma dość nietypową wiedzę.

Zapytany o to podczas wywiadu w lutym 2021 roku obśmiał tę wersję i obrócił pytanie w żart.

To właśnie Tierech 8 lutego opublikował zdjęcia, które miały przedstawiać mail Karola Kotowicza w sprawie utworzenia Fundacji Dyplomacji Narodowej w Polsce. Udostępnił je zarówno na kanale @Ludazhor na Telegramie, jak i na swoim własnym koncie na Facebooku – z identyczną treścią. Post na FB był dość popularny, napisano pod nim 179 komentarzy, choć rzadko go udostępniano.

Ten sam dokument, choć w innej formie, wykorzystano w dezinformacyjnej notatce z 30 kwietnia. Czyli prawie dwa miesiące później! Jak na zaplanowaną operację dezinformacyjną, to dziwna luka czasowa.

Jeszcze później, bo 4 czerwca, powstał trzeci już z interesujących nas kanałów na Telegramie - ten, od którego cała sprawa zaczęła być w Polsce publicznie znana i który do dziś publikuje m.in. materiały ze skrzynki mailowej ministra Michała Dworczyka.

Część udostępnionych tam dokumentów nie ma widocznego związku z mailem Dworczyka (tzn. nie wiemy, czy rzeczywiście stamtąd zostały pobrane). Natomiast wiemy, że niektóre z nich to te same pliki, które publikował wcześniej kanał pierwszy (ten istniejący od 5 lutego).

Polskie służby: to operacja Ghostwriter, za którą stoi Rosja

Polski rząd od początku informuje (choć bez żadnych szczegółów), że cała ta sytuacja to skutek ataku rosyjskich służb na Polskę. Tę wersję potwierdzono w oświadczeniu ABW i SKW z 22 czerwca:

„Z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego wynika, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów. Polskie służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych.

Na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy. Atak dotknął osób pochodzących z różnych opcji politycznych, a także pracowników mediów i organizacji pozarządowych.

Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. (…) Wszystkie dotychczas pozyskane informacje wskazują, że działania grupy UNC1151, które dotknęły w ostatnich tygodniach Polskę, to element akcji »Ghostwriter«, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej”.

Wątpliwości i pytań przybywa

Czyli – cały atak to element operacji „Ghostwriter”, za którą stoją rosyjskie służby. Szybkie wyjaśnienie. Tyle tylko, że o operacji Ghostwriter wiadomo publicznie przynajmniej od lipca 2020 roku, kiedy amerykańska firma Fireeye, zajmująca się cyberbezpieczeństwem, opublikowała pierwszy raport na ten temat.

Skoro ofiarami operacji padło tak wiele osób publicznych, czemu publikowane są tylko maile ze skrzynki ministra Dworczyka? Do tego w ramach Ghostwriter, jak wynika z raportów Fireeye, wykorzystywano przede wszystkim konta w mediach społecznościowych oraz zhakowane witryny internetowe, a nie maile.

Wreszcie: dlaczego ktoś, kto prowadzi kanał na Telegramie, publikujący maile Dworczyka, robi to w sposób dość rozrywkowy? Komentuje pojawiające się w mediach wypowiedzi, wrzuca memy, zabawne gif-y, zrobił sondę o prawie do aborcji w Polsce.

Na dodatek, wbrew wcześniejszym opiniom, wykazuje się dobrą znajomością języka polskiego, także specyficznego slangu, który jest używany w internecie. Czy to wygląda na rosyjską albo białoruską operację służb wywiadowczych?

Tak jak sposób rozprowadzania dokumentów z pierwszego kanału na Telegramie może świadczyć o związkach z białoruskimi służbami, tak na drugim wcale tego nie widać. Nie wiadomo nawet, czy twórcy obu kanałów działają wspólnie.

COMB21, czyli gigantyczny wyciek haseł do maili

Wszystkie te wątpliwości nie pozwalają zbudować spójnego obrazu #DworczykLeaks. Ale jest jedno zdarzenie, które może wiele wyjaśnić.

Dokładnie 2 lutego na jednym z hakerskich forów internetowych został zamieszczony plik zip, zawierający ogromną bazę wykradzionych danych z adresami mailowymi i hasłami do nich.

Wyciek ten nazwano COMB21 lub Breachcomp2.0.

Mowa o 3,28 miliardach haseł, powiązanych z 2,18 miliarda unikalnych adresów e-mail (dziś to już nie jest największy wyciek, kolejny miał miejsce na początku czerwca).

W wielu przypadkach ujawniono od trzech do nawet 30 haseł powiązanych z jednym adresem. Daje to możliwość wglądu we wzorce, stosowane przez użytkowników podczas tworzenia haseł.

Opublikowany plik był kompilacją wielu wcześniejszych wycieków, m.in. z witryn Netflix, LinkedIn, Exploit, Bitcoin i innych. Zawierał adresy mailowe tak popularnych, międzynarodowych serwisów pocztowych jak Gmail, Hotmail czy Yahoo.

Choć dotychczas nigdy nie zdarzył się wyciek danych np. z Gmail, związane z nim adresy mailowe były prawdopodobnie używane w innych witrynach, na przykład podczas realizacji usług online, stąd ich obecność w wykradzionych danych. Część adresów i haseł została pozyskana w trakcie ataków phishingowych, zrealizowanych na całym świecie.

Miliony haseł z domen rządowych

Międzynarodowa firma Syhunt, zajmująca się oprogramowaniem, przeanalizowała plik z danymi. Okazało się, że zawiera on miliony haseł powiązanych z mailami z domen rządowych. „To stanowi poważne zagrożenie dla podmiotów rządowych na całym świecie. Wyciek COMB21 mogą wykorzystać nie tylko hakerzy i cyberprzestępcy, ale także wrogo nastawione zagraniczne podmioty” – napisali autorzy raportu Syhunt.

Wyciekły dane 4194 polskich rządowych maili

COMB21 dotknął także Polskę. Z analizy Syhunt wynika, że zapisano w nim dane dostępu do 4194 maili w polskiej domenie rządowej gov.pl (co jest mocno zbliżone do liczby 4350, podawanej w oświadczeniu służb).

Przypomnijmy: plik z tymi danymi udostępniono 2 lutego. 5 lutego powstał pierwszy z interesujących nas kanałów na Telegramie. 8 lutego o dokumencie nt. Fundacji Dyplomacji Narodowej pisał kanał @Ludazhor, pokazując go w formie maila od Karola Kotowicza.

20 kwietnia portal Niebezpiecznik.pl ujawnił, że w Polsce doszło do wycieku danych osobowych 20 tys. funkcjonariuszy, w pliku pochodzącym z Rządowego Centrum Bezpieczeństwa. Ten wyciek mógł nie być bezpośrednio powiązany z COMB21, ale z informacji medialnych wynika, że po jego ujawnieniu w RCB wykonano audyt cyberbezpieczeństwa i zabezpieczono wszystkie możliwe miejsca wycieku.

To ważne, ponieważ daty powstania opublikowanych dotychczas na Telegramie dokumentów rządowych i maili kończą się na 22 kwietnia. Zupełnie jakby właśnie wtedy hakerzy utracili dostęp do źródeł informacji. Czy stało się to w wyniku audytu w RCB? Czy właśnie wtedy odkryto, że ktoś z zewnątrz ma dostęp do danych?

W sprawie wycieku w RCB trwa śledztwo, pytaliśmy prokuraturę i RCB, czy doszło wówczas do szerszego wycieku, jednak ze względu na trwające postępowanie nie uzyskaliśmy informacji.

W COMB21 maile Dworczyka, Gaja i Niedzielskiego

Litewska branżowa platforma cybernews.com pobrała przejęte dane i stworzyła narzędzie, które umożliwia sprawdzenie, czy konkretny adres mailowy znalazł się wśród opublikowanych w COMB21.

Sprawdziłam maile, które były używane w korespondencji, publikowanej na Telegramie. Jak się okazuje, w wycieku znalazły się loginy i prawdopodobnie hasła dostępu dla kont zakładanych na adresy:

• Michała Dworczyka, konto na Wirtualnej Polsce,
• płk. Krzysztofa Gaja, konto na Wirtualnej Polsce,
• ministra zdrowia Adama Niedzielskiego, konto na Gmail,
• Norberta Maliszewskiego, szefa Centrum Analiz Strategicznych, konto na Gmail,
• Krzysztofa Kubowa, szefa gabinetu politycznego premiera, konto na Gmail,
• Krzysztofa Szczuckiego, prezesa Rządowego Centrum Legislacji, konto na Gmail,
• Mariusza Chłopika, dyrektora ds. marketingu sportowego w PKO BP, który – jak podaje portal wp.pl – prowadzi konta premiera Morawieckiego w mediach społecznościowych, konto na Gmail,
• Karola Kotowicza, sekretarza dyrektora Centrum Informacyjnego Rządu, konto na Gmail.

Charakter ujawnionych danych sprawia, że sama zmiana hasła dostępu do maila mogła nie wystarczyć, by ochronić je przed nieuprawnionym dostępem. Jeśli zachowano ten sam wzorzec tworzenia hasła, a historia wcześniejszych była widoczna w pliku, hakerzy mogli bez problemu zrekonstruować nowe zabezpieczenie i dostać się do skrzynki.

Minister Dworczyk w wywiadzie dla portalu wpolityce.pl stwierdził, że hasło do swego prywatnego maila zmieniał 12 razy w ciągu ostatnich dziewięciu miesięcy. Jak się okazuje, mogło to nie zwiększyć bezpieczeństwa jego skrzynki.

Jedno źródło, różni zainteresowani?

Udostępnione na forum hakerskim dane były łatwe do wykorzystania przez różne podmioty – zarówno przez służby w Rosji czy na Białorusi, jak i przez wolnych strzelców działających prywatnie. Ci zaś, którzy dostali się do maili, mogli odsprzedać pozyskane w ten sposób materiały zainteresowanym osobom.

To by wyjaśniało zarówno rozprowadzanie rządowych dokumentów przez białoruskie i rosyjskie media, które zapewne dostają informacje od służb, jak i zupełnie inny charakter konta na Telegramie, ujawniającego materiały ze skrzynki Dworczyka.

Jak ma się do tego operacja Ghostwriter? Obecnie możemy tylko snuć przypuszczenia.

Pierwsza wersja: udostępniony plik z kompilacją zhakowanych wcześniej danych mógł zawierać także hasła, wykradzione przez grupę UNC1151 podczas operacji Ghostwriter.

Druga wersja: to hakerzy UNC1151 skorzystali z udostępnionego pliku, by dostać się do maili i kont społecznościowych.

Mimo że hakowano także konta z polskiej domeny rządowej, sprawdzane przez mnie adresy mailowe z domeną gov.pl, widoczne w korespondencji Dworczyka, okazały się bezpieczne. W tym również służbowy mail ministra Dworczyka.