Nowy etap #DworczykLeaks. Cyberprzestępcy włamali się na sejmowego maila Dworczyka

Wszystko wskazuje na to, że cyberprzestępcy dostali się do skrzynki z domeną sejm.pl w czerwcu. Mieli więc do niej dostęp już po nagłośnieniu w Polsce sprawy wycieku – weszli do poselskiej poczty tego samego dnia, w którym premier Morawiecki złożył wniosek o niejawne posiedzenie Sejmu na temat #DworczykLeaks.

Wciąż nieznane osoby, które serwują nam materiały na Telegramie, właśnie dały jednoznacznie do zrozumienia, że mają dostęp do szerszej ilości danych, niż myśleliśmy dotychczas, oraz że ich działania w sieci, polegające na nielegalnym dostępie do źródeł, cały czas trwają. „To się dzieje teraz i nie macie na to wpływu” – przekazują nam administratorzy kanału.

Włamali się do sejmowego maila w czerwcu?

Na dwóch zrzutach ekranu, opublikowanych 1 lipca, można zobaczyć:

- listę wiadomości wysłanych,

- listę wiadomości odebranych.

Obie pochodzą z sejmowej skrzynki Michała Dworczyka. Widoczny na górze screenów link jest prawdopodobnie prawdziwy – prowadzi do strony logowania do programu IBM iNotes Social Edition, a Sejm korzysta właśnie z oprogramowania IBM.

Na każdej stronie widać listę kilkudziesięciu maili – są tam nazwy nadawców, tematy wiadomości oraz daty ich odbioru lub wysłania. Same wiadomości nie budzą większego zainteresowania – to typowa oficjalna korespondencja, przesyłana na oficjalne sejmowe konto. Są zaproszenia na różne wydarzenia, wiadomości od (prawdopodobnie) wyborców, zaproszenia na partyjne wydarzenia PiS-u, a nawet maile z reklamami. Jednym z często pojawiających się adresów jest mail Artura Fiołka, pracownika biura poselskiego posła Michała Dworczyka.

Najistotniejsze są jednak daty wiadomości. Do tej pory maile publikowane z prywatnej skrzynki Michała Dworczyka pochodziły z okresu do 23 kwietnia 2021 roku, nie było późniejszych. To wskazywało, że osoby stojące za całą operacją prawdopodobnie właśnie w trzeciej dekadzie kwietnia utraciły dostęp do poczty ministra.

Tym razem mamy inną sytuację. Najnowsze wiadomości, widoczne na liście maili przychodzących, są z 14 czerwca 2021 roku (na liście maili wychodzących – z 4 czerwca). Oznacza to, że kiedy afera #DworczykLeaks była już znana, media informowały o niej od tygodnia, a premier Morawiecki wnioskował o niejawne posiedzenie Sejmu na jej temat (odbyło się 16 czerwca), cyberprzestępcy dostali się do sejmowego maila Michał Dworczyka i przejrzeli jego korespondencję.

To wiadomość od cyberprzestępców

Czy doszło do włamania, czy też znów prowadzący operację znali login i hasło użytkownika tak jak w przypadku skrzynki na Wirtualnej Polsce? Tego nie wiemy. Skrzynki sejmowe są tworzone na serwerze sejmowym, loginy i hasła są na początku kadencji przekazywane są posłom przez Kancelarię Sejmu. Parlamentarzyści powinni wtedy zmienić hasła na własne.

Zapytaliśmy Centrum Informacyjne Sejmu, w jaki sposób poselska poczta jest chroniona przed cyberatakami i czy ma opcję uwierzytelniania dwuskładnikowego, które znacząco utrudnia dostanie się do poczty. Czekamy na odpowiedzi.

Niewątpliwie jednak publikacja screenów z sejmowej skrzynki to swego rodzaju wiadomość, jaką cyberprzestępcy postanowili przekazać wszystkim zainteresowanym: sprawa się nie zakończyła, mamy dostęp do szerszej liczby źródeł informacji niż sądziliście i korzystamy z nich cały czas.

Można zresztą powiedzieć, że to kolejny tego rodzaju przekaz, choć poprzedni miał nieco inną formę. Cały czas działa tak zwany pierwszy kanał na Telegramie – kanał, który powstał na początku lutego, jest rosyjskojęzyczny i ujawnia niepubliczne dokumenty polskiego rządu, tłumacząc je (lub opisując) na rosyjski.

Do dziś nie wiadomo, skąd pochodzą te dokumenty, czyli z jakiego źródła wyciekły, ponieważ na tym kanale nie ma żadnej informacji o mailu ministra Dworczyka, zaś udostępniane tam materiały – poza dwoma przypadkami – są inne niż te pochodzące ze skrzynki prywatnej Dworczyka.

Właśnie tutaj 9 czerwca, w dniu nagłośnienie wycieku z ministerialnego maila w polskich mediach, opublikowano zdjęcie dokumentu (nie wiadomo, czy prawdziwego), który miał powstać w Departamencie Spraw Zagranicznych Kancelarii Premiera Rady Ministrów.

Sama treść nie była znacząca, istotna była jednak data – 2 czerwca 2021 roku. Jeśli dokument i data są prawdziwe – świadczą o tym, że w tym właśnie dniu cyberprzestępcy mieli dostęp do nośnika informacji, związanego z KPRM, na którym ów dokument się znajdował. A jest to dostęp dość świeży. Jeśli natomiast data została sfałszowana – i tak pozostaje wiadomością od prowadzących operację: cały czas mamy wgląd w Wasze nośniki danych.

Personalne ataki na pierwszym kanale

Pierwszy kanał, rosyjskojęzyczny, nadal publikuje polskie dokumenty – w ostatniej dekadzie czerwca zaprezentowano tam zdjęcia plików z życiorysami dwóch osób: Marka Bućko, współpracownika Michała Dworczyka, oraz płk. Macieja Trelki, dowódcy 1. Skrzydła Lotnictwa Taktycznego w Świdwinie.

Podano numer telefonu i adres mailowy Trelki, oraz cały przebieg jego służby. Bućko został zaprezentowany w notatce, zatytułowanej „Polskie twarze białoruskiego protestu”. Nazwano go w niej „pracownikiem polskiego MSZ, którego działalność zawodowa skierowana była przeciwko Białorusi i Rosji.”

Natomiast kolejny kanał na Telegramie, który udostępnił notatkę – Bielwpo – nazwał go po prostu „pracownikiem polskiego wywiadu”. Więcej o działalności Marka Bućko pisałam w OKO.press tu:

Oba kanały na Telegramie, publikujące materiały związane z działalnością polskiego rządu, są więc aktywne. Niezależnie od oświadczeń premiera, służb i wicepremiera Jarosława Kaczyńskiego, niejawnego posiedzenia Sejmu i mnożących się teorii, przekazywanych mediom.

Od lutego na pierwszym kanale, a od 4 czerwca na drugim, codziennie dostajemy porcję nowych informacji, pochodzących z wycieku.

Według oświadczeń rządu i służb, jest to efekt operacji Ghostwriter, za którą stoją rosyjskie służby. Polega ona na atakach phishingowych, wykradaniu danych dostępu do kont za ich pomocą, a potem pobieraniu informacji ze skrzynek mailowych oraz zamieszczaniu nieprawdziwych informacji na kontach społecznościowych osób, które stały się ofiarami ataku.

Operacja Ghostwriter miała dotknąć przynajmniej stu osób, pełniących w Polsce funkcje publiczne. Do tej pory mowa w opisie akcji mowa była jednak o skrzynkach prywatnych, na które mieli się dostać przestępcy, współpracujący ze służbami. Zaś o samej operacji wiadomo już od roku – wtedy bowiem amerykańska firma Fireeye, zajmująca się cyberbezpieczeństwem, opublikowała pierwszy raport na ten temat. Polskie władze zareagowały na te doniesienia dopiero teraz.

Tu już nie chodzi o prywatnego maila!

W czwartek, 1 lipca, sytuacja znacząco się zmieniła: przestępcy dostali się do skrzynki sejmowej, założonej na serwerze należącym do państwa, a nie u komercyjnego dostawcy. Stało się to nie kilka miesięcy temu, lecz w połowie czerwca. Cyberoperacja cały czas trwa.

Opublikowane dotychczas na Telegramie materiały zawierały informacje dotyczące polskiego wsparcia dla białoruskiej opozycji, polskiego wojska, produkcji uzbrojenia, problemów firm zbrojeniowych, narodowego programu szczepień. Publikowano także korespondencję premiera Mateusza Morawieckiego z jego współpracownikami, przechodzącą przez skrzynkę ministra Dworczyka, w tym budzące największe kontrowersje rozważania na temat wyprowadzenia na ulice wojska, w październiku 2020 roku, przeciwko osobom protestującym podczas Strajku Kobiet.

Co widać w mailach

Z najnowszych screenów maili dowiadujemy się więcej na temat planowania przekazów PiS w czasie kampanii prezydenckiej Andrzej Dudy latem 2020 roku. Upubliczniona korespondencja wskazuje, że rozważano „wsparcie dla rodzin na wzór węgierski” i zapisanie go w polskiej Karcie Rodziny. Wymieniano na przykład:

- nieoprocentowane pożyczki na zakup domu dla młodych małżeństw, umarzane całkowicie po urodzeniu trójki dzieci;

- wspólne rozliczanie podatków z dziećmi;

- trwałe zwolnienie z podatków dla rodzin wielodzietnych;

- dwuletnie ulgi podatkowe po zawarciu małżeństwa.

„Bardzo fajne propozycje i więcej szczegółów to już nawet nie potrzeba bo to, co tutaj jest to prawie jeden do jednego mogłoby wejść do takiego programu dla Andrzeja” - miał zareagować na te pomysły premier Morawiecki. Planowano włączyć do współpracy ambasador Węgier w Polsce. Zauważono jednocześnie, że „temat LGBT nakręca coraz ostrzejszą polaryzację”, oraz że wypełnienie „treścią Karty Rodziny” pomoże „rozładować zagrożenia wywołane eskalacją LGBT” (ten ostatni cytat to słowa Michała Dworczyka).

Być może poza ministrem Dworczykiem nikt nie potrafi powiedzieć, czy dotychczas ujawnione treści to najpoważniejsze materiały, do których dotarli przestępcy, czy też obserwujemy dopiero wstęp do publikacji, które rzeczywiście zagrożą bezpieczeństwu naszego państwa.