Jednak Rosja! To ona według analityków USA stała za operacją, której częścią było #DworczykLeaks

Są wyraźne ślady, które wskazują na zaangażowanie rządu rosyjskiego w działania grupy hackerskiej UNC1151, odpowiadającej za realizację tej operacji.

Raport ekspertów Recorded Future potwierdza nasze ustalenia z września 2021 roku. Przeprowadzona przez mnie wówczas analiza rozchodzenia się treści z rosyjskojęzycznego kanału, rozpowszechniającego materiały wykradzione z maila ministra Michała Dworczyka, wykazała związek między tym kanałem a rosyjską grupą medialną Patriot Media Group, nadzorowaną przez rosyjskiego oligarchę Jewgienija Prigożina.

Amerykańscy analitycy dowodzą, że UNC1151 mogła realizować tzw. operację false flag, czyli działać pod fałszywą flagą, w tym przypadku białoruską, by zamaskować swoje związki z Rosją.

Afera mailowa wybuchła wiosną 2021 roku, gdy na platformie Telegram rozpoczęto publikowanie korespondencji, wykradzionej z prywatnej skrzynki mailowej ministra Michała Dworczyka, szefa Kancelarii Premiera.

To za pomocą prywatnego adresu mailowego minister prowadził służbową korespondencję, między innymi z premierem Mateuszem Morawieckim i jego najbliższymi współpracownikami. Na Telegramie działały dwa kanały, na których publikowano wykradzione maile: polskojęzyczny i rosyjskojęzyczny. Ten drugi działał od lutego 2021 roku.

Analitycy z Mandiant wskazali na Białoruś

Polskie służby do dziś nie wyjaśniły, w jaki sposób doszło do wykradzenia ministerialnej korespondencji, ani kto ją rozpowszechniał w internecie. Najwięcej wiemy dzięki dziennikarskim śledztwom oraz raportom prywatnych firm zagranicznych, zajmujących się cyberbezpieczeństwem.

Tematem zajmowała się przede wszystkim amerykańska firma Mandiant, która zidentyfikowała aferę mailową jako część operacji Ghostwriter, realizowanej przez grupę hackerską UNC1151.

Ta rozległa i wieloletnia operacja obejmowała nie tylko Polskę, atakowano także kraje nadbałtyckie. Pozyskiwano dane dostępu do kont oraz maili polityków i urzędników za pomocą profesjonalnego phishingu, wykorzystywano ich konta w mediach społecznościowych do publikowania i rozsyłania nieprawdziwych informacji, hackowano witryny internetowe.

W listopadzie 2021 roku Mandiant opublikował raport, w którym wskazał, że grupa UNC1151 jest powiązana z władzami białoruskimi. „Z dużą pewnością oceniamy, że operacje informacyjne Ghostwirter są prowadzone na rzecz białoruskiego rządu, a z umiarkowaną pewnością, że są sponsorowane przez Białoruś” – napisali analitycy.

„Mandiant zbadał możliwość udziału Rosji w operacjach UNC1151 i Ghostwriter, ale nie mamy wystarczających dowodów, aby potwierdzić lub obalić jego rolę w tych działaniach. Mandiant zauważył, że TTP (taktyki, technologie i procedury – przyp. red.) wysokiego poziomu pokrywają się z operacjami rosyjskimi, a wiele operacji namierzania i informacji jest zgodnych z rosyjskimi celami. Biorąc pod uwagę bliskie więzi między rządami, współpraca jest prawdopodobna; jednak nie odkryliśmy bezpośrednich dowodów na zaangażowanie rządu rosyjskiego”.

Poszlaki prowadziły do Rosji

Tymczasem ustalenia polskich dziennikarzy wskazywały, że co prawda z wykradzionych ministrowi Dworczykowi maili korzysta Białoruś (do tworzenia propagandowych materiałów w mediach), ale poszlaki prowadziły do Rosji.

W lipcu 2021 roku Szymon Jadczak z WP opublikował artykuł, w którym zawarł analizę wypowiedzi, jakie uzyskał, kontaktując się online z osobami prowadzącymi polskojęzyczny kanał „Poufna rozmowa”, publikujący wykradzione maile.

W wypowiedziach, które liczyły 3852 znaki, językoznawcy i analitycy znaleźli 37 błędów i sformułowań, wskazujących na język rosyjski jako na ojczystą mowę autora. Generał Piotr Pytel, były szef Służby Kontrwywiadu Wojskowego, postawił wówczas tezę, że afera mailowa jest operacja białorusko-rosyjską, kontrolowana przez GRU – rosyjski wywiad wojskowy.

Wzbudziło to ogromne kontrowersje – inna, popularna hipoteza głosiła bowiem, że za aferą stoją jacyś polscy cyberprzestępcy, którzy włamali się do maila Dworczyka, zaś cała afera ma charakter jedynie wewnętrzny, dotyczy wewnętrznych polskich rozgrywek politycznych. Hipoteza ta jednak zupełnie pomijała istnienie rosyjskojęzycznego kanału na Telegramie, publikującego dane wojskowe, wykradzione z korespondencji Dworczyka.

Powiązania z rosyjskim oligarchą

W tym samym czasie prowadziłam własny monitoring rozchodzenia się treści. Ustaliłam, że wpisy z kanału rosyjskojęzycznego są regularnie powielane przez inny kanał - @ChVKMedia. A ten z kolei jest oficjalnie powiązany właśnie z Rosją.

Jego autorzy współpracowali bowiem z rosyjskim portalem RIA FAN, będącym flagowym projektem fabryki mediów Patriot Media Group, na czele którego (a dokładniej na czele jego rady powierniczej) stoi Jewgienij Prigożin, rosyjski oligarcha.

Prigożin to bliski współpracownik Putina, twórca najsłynniejszej rosyjskiej fabryki trolli Internet Research Agency, ale też sponsor tzw. Grupy Wagnera – prywatnej firmy zatrudniającej wojskowych najemników, wynajmowanej do realizowania militarnych działań Kremla w różnych częściach świata, których z przyczyn politycznych nie może zrealizować rosyjska armia.

W czasie trwającej wojny w Ukrainie to właśnie wagnerowcom Kreml miał zlecić zamach na prezydenta Ukrainy Wołodymyra Zełenskiego i kilku innych najwyższych ukraińskich polityków. Sam Prigożin zaś jest poszukiwany przez FBI za ingerencję w amerykańskie wybory prezydenckie w 2016 roku.

Moje ustalenie pozwoliło oprzeć tezę o udziale Rosji w polskiej aferze mailowej na silniejszych podstawach niż sama analiza językowa wypowiedzi (choć ta była pierwszą ważną wskazówką).

Nowy raport, z 18 marca 2022 roku, dostarcza kolejnych argumentów na zaangażowanie Rosji. Napisali go analitycy Insikt Group – zespołu zajmującego się badaniem zagrożeń cybernetycznych, należącego do Recorded Future, jednej z największych firm wywiadowczych na świecie (wśród jej pierwszych inwestorów była spółka In-Q-Tel, pracująca dla amerykańskiej agencji wywiadowczej CIA).

Analitycy nie kwestionują ustaleń firmy Mandiant, raczej potwierdzają przypuszczenia dotyczące współpracy między służbami rosyjskimi i białoruskimi oraz podkreślają podobieństwa między działaniami państwowych rosyjskich grup cybernetycznych a operacją Ghostwirter.

Ich zdaniem z ogromnym prawdopodobieństwem można dziś powiedzieć, że za tą operacją Ghostwriter stała (i nadal stoi – operacja trwa) Rosja.

GRU mogło szkolić Białorusinów

Amerykańscy eksperci podkreślili, że rosyjskie jednostki rządowe, zwłaszcza związane z rosyjskim sektorem wojskowym oraz akademickim, od dawna współdziałają z rządem białoruskim w kwestiach cyberbezpieczeństwa i operacji informacyjnych.

„Jest prawdopodobne, że rosyjskie jednostki wojskowe, w tym potencjalnie osoby powiązane z grupami APT (realizującymi długotrwałe operacje ataków cybernetycznych – przyp. red.), pracującymi dla GRU, działały, wspierały lub szkoliły osoby i organizacje na Białorusi. Ocena ta opiera się na wieloletnich obserwacjach działań rosyjskiego Ministerstwa Obrony” – napisali w raporcie.

Ich zdaniem takie interakcje dały rosyjskim służbom podstawę do tego, by wykorzystać Białoruś jako bazę operacyjną.

Analitycy uważają również za mało prawdopodobne, by tak rozległą operację jak Ghostwtriter mogła samodzielnie przeprowadzić Białoruś. Pierwsze działania Ghostwritera pochodzą z 2017 roku, tymczasem białoruskie jednostki, zajmujące się operacjami cybernetycznymi, powstały dopiero rok później.

Do tego znaczna część białoruskiego sektora IT wspiera białoruską opozycję i realizuje ataki uderzające w reżim Łukaszenki, czyli nie współpracuje z państwową administracją. Kto na Białorusi miałby więc realizować tego rodzaju działania?

Eksperci zwrócili też uwagę na podobieństwa w sposobach działania. Zidentyfikowali kilka technik i procedur cybernetycznych, które były stosowane zarówno przez UNC1151, jak i przez rosyjskie grupy APT, powiązane z rosyjskim wywiadem GRU. W tym specyficzne przechwytywanie tzw. danych wejściowych czy wykorzystanie konkretnych narzędzi oraz skryptów.

Podkreślili, że rosyjskie grupy często realizują jednocześnie działania cybernetyczne i informacyjne – dokładnie w ten sposób prowadzono operację Ghostwriter.

Atakowano NATO – a to cel Rosji

Także cele prowadzonej operacji były zbieżne z interesami Kremla. Miała uderzać w NATO, dlatego rozpoczęła się w 2017 roku – dokładnie wtedy, gdy doszło do zwiększenia liczby wojsk NATO w Polsce i krajach bałtyckich.

Atakowanie NATO to typowy element rosyjskiej wojny informacyjnej na terenie tych państw. Długo nie znajdował się natomiast w obszarze zainteresowania władz białoruskich, które jeszcze w grudniu 2018 roku realizowały wspólnie z NATO projekt corocznych seminariów na temat bezpieczeństwa regionalnego i międzynarodowego, a do zawieszenia współpracy między NATO a Białorusią doszło dopiero w 2021 roku.

Wiadomo również, że rosyjskie grupy cybernetyczne już wcześniej realizowały tzw. operacje false flag – czyli działały w taki sposób, by ich aktywność była przypisywana innym podmiotom czy państwom, maskując udział Rosji.

Według analityków wszystkie te argumenty dowodzą, że Ghostwriter to operacja rosyjska, realizowana albo wprost z terenu Białorusi, albo kreowana w ten sposób, by wszystkie techniczne ślady wskazywały na Białoruś.

Recorded Future podkreśla również, by nie pozostawiać w przestrzeni publicznej wersji, że za Ghostwriter odpowiada wyłącznie Białoruś: „Przyniesie to korzyści sponsorowanym przez państwo rosyjskim grupom, ponieważ zapewni im możliwość zaprzeczenia ich operacjom – i zaprzeczenie to będzie uznawane za wiarygodne. Co więcej, prawdopodobnie ośmieli to sponsorowane przez państwo rosyjskie grupy, by szukały innych gościnnych lokalizacji, w których będą mogły realizować swoje operacje”.

Znamy już taki przypadek – w marcu 2020 roku firma Meta ujawniła, że na Facebooku zidentyfikowano farmę trolli z Afryki Zachodniej, kierowaną przez Rosję. Aktywność tej grupy była niewielka, ale była to pierwsza zidentyfikowana rosyjska operacja dezinformacyjna, przeprowadzona z Afryki, dokładnie z Ghany i Nigerii.

Kreml tworzy sieć zleceniodawców

Wydaje się, że Rosja dąży do tworzenia sieci zleceniodawców z wielu państw, którzy będą realizować rosyjskie operacje, ale trudno będzie udowodnić ich związki z Rosją. Są poszlaki wskazujące na to, że taka sieć już istnieje w Europie.

W przestrzeni informacyjnej mówi się o zjawisku „praniu informacji” – kamuflowaniu źródeł dezinformacyjnych treści tak, by uniemożliwić wykazanie, że powstały one w Rosji. Ustalenia Recorded Future wskazują, że z takim samym zjawiskiem możemy mieć do czynienia w odniesieniu do operacji cybernetycznych, a działalność grupy UNC1151 może być tego przykładem.

Wyjaśniałoby to jeszcze jeden element afery mailowej: wpisy publikowane na polskojęzycznym kanale „Poufna rozmowa”, a potem na stronie o tej samej nazwie, wskazują na głęboką znajomość polskich realiów. Prawdopodobnie więc polskojęzyczny wątek afery realizowany jest przez kogoś z Polski. Być może ta wciąż nieujawniona osoba robi to na zlecenie Kremla, choć wcale nie musi wiedzieć, kto jest pierwotnym zleceniodawcą.

Operacja Ghostwriter nadal trwa. Na początku kwietnia firma META poinformowała, że wykryła na Facebooku aktywność grupy UNC1151, która próbowała włamać się na konta ukraińskich żołnierzy, aby publikować na nich rosyjską propagandę oraz apel, wzywający ukraińskie wojska do poddania się.