Polski rząd zależny od cyberprzestępców związanych z Rosją? Eksperci: dane mogą wyciekać przez lata

Ustaliliśmy, jakie informacje na temat afery #DworczykLeaks przekazano dziennikarzom w poniedziałek, podczas zamkniętego spotkania - off the record - w Kancelarii Prezesa Rady Ministrów.

Jak poinformował w środę portal Press.pl, 12 lipca w KPRM, przed transmitowaną potem w mediach elektronicznych konferencją prasową, odbył się briefing z ministrem Dworczykiem i rządowymi ekspertami, na temat afery #DworczykLeaks.

Nie było na nim jednak przedstawicieli wielu redakcji, w tym „Gazety Wyborczej”, Onetu, „Polityki”, Tok FM, „Newsweeka”, „Tygodnika Powszechnego” czy „Przeglądu” - nie zostały poinformowane o spotkaniu. Nie zaproszono też przedstawicieli branżowych portali, zajmujących się cyberbezpieczeństwem. OKO.press również nie zostało powiadomione o spotkaniu.

Mimo to ustaliliśmy, jakie informacje przekazano wówczas dziennikarzom. Wbrew pojawiającym się opiniom, nie były to te same dane, które prezentowano potem na konferencji prasowej.

Do 12 lipca rząd w minimalnym stopniu informował o ustaleniach, dotyczących wycieku maili z prywatnej skrzynki ministra Dworczyka (i być może, z innych źródeł). Maile te od czerwca publikowane są na platformie Telegram. Także na konferencji prasowej padło niewiele szczegółów. Więcej przedstawiono dziennikarzom właśnie na briefingu off the record.

Jak pisze Press.pl: „W trwającym dwie i pół godziny spotkaniu wzięli udział minister Dworczyk, pełnomocnik rządu do spraw cyberbezpieczeństwa Janusz Cieszyński, rzecznik prasowy rządu Piotr Müller oraz Przemysław Jaroszewski z NASK, Kamil Basaj, prezes Fundacji INFO OPS Polska i Sławomir Dębski, dyrektor PISM. Dziennikarzy poinformowano, że nie mogą nagrywać”.

Niektóre informacje uzyskane podczas briefingu opublikowały później redakcje prawicowych mediów: wpolityce.pl i niezalezna.pl.

Nie tylko maile – także przejęcie kontroli nad komputerem

Najważniejsze szczegóły dotyczą zasięgu akcji #DworczykLeaks. Jak się okazuje, do pierwszego nieuprawnionego logowania cyberprzestępców do prywatnego maila ministra Dworczyka doszło już 29 września 2020 roku. Drugie logowanie miało miejsce 24 maja 2021 roku. W obu przypadkach logujący korzystał z pośrednictwa rosyjskiego dostawcy usług internetowych.

10 czerwca, już po ujawnieniu #DworczykLeaks na Telegramie, skrzynkę ministra zabezpieczono dwuetapowym systemem logowania – mimo to została po raz kolejny przejęta.

Ze słów ekspertów wynika, że cyberprzestępcy nie tylko mieli dostęp do ministerialnego maila, ale też mogli zdalnie przejmować kontrolę nad całym komputerem. Taka informacja oznacza, że na komputerze Dworczyka zostało zainstalowane złośliwe oprogramowanie.

Takie oprogramowanie działa w tle, niewidoczne dla użytkownika. Może mieć wpływ na system operacyjny komputera oraz modyfikować go. Może także gromadzić informacje o użytkowniku: rejestrować jego ruchy w Internecie, wykonywać screeny ekranu, zachowywać loginy i hasła dostępowe, dane z formularzy internetowych czy numery używanych podczas transakcji online kart kredytowych.

Michał Dworczyk miał podczas briefingu zapewnić, że nie przechowywał na swoim prywatnym komputerze żadnych służbowych informacji poufnych.

Te dane mogą być publikowane przez lata

Ze słów ekspertów wynika, że operacja nie dotyczyła tylko szefa Kancelarii Premiera. Zarzucanie cybersieci w Polsce miało być bardzo szerokie - zaatakowano ok. dwóch tysięcy osób, atak powiódł się wobec ponad 700 osób. 40 proc. z nich stanowili politycy, a np. 11 proc. – naukowcy.

To oznacza, że niejawne dane mogły zostać wykradzione od prawie 300 polityków! Dostano się także do sejmowych maili 11 parlamentarzystów.

Nie podano jakim jeszcze politykom - poza ministrem Dworczykiem - włamano się do kont mailowych, u kogo zainstalowano oprogramowanie szpiegujące, jakie dane przestępcom udało się pozyskać.

Tymczasem są to dziś kluczowe informacje – tylko na ich podstawie można ocenić, jakim realnym zagrożeniem dla państwa czy dla obecnej władzy jest ów cyberatak.

Poważny niepokój budzi zwłaszcza stwierdzenie jednego z ekspertów, że cyberprzestępcy pozyskali tak dużo danych, że mogą one być publikowane w sieci jeszcze przez lata.

Jednocześnie na pytanie o to, kto stoi za atakami, padła odpowiedź: „Atrybucja rosyjska jest najbardziej prawdopodobna w świetle wyjaśnień, które poznaliśmy”.

Choć wciąż nie jest wykluczone, że za operacją stoi tzw. aktor niepaństwowy – osoba lub grupa osób, która nie ma bezpośredniego powiązania z żadnym państwem, lecz z nim współpracuje, często na zasadach komercyjnych, czyli sprzedaje państwu (rządowi, służbom) pozyskane w trakcie cyberprzestępstwa informacje.

Czy są tam „kompromaty”?

Co to wszystko tak naprawdę oznacza? Ujmijmy to w najbardziej zrozumiały sposób:

1. Z zasobów cyfrowych wysoko postawionych polskich urzędników rządowych i polityków wykradziono ogromne ilości danych, służbowych i prywatnych. Dotychczas opublikowano jedynie niewielki ułamek tego, co zdobyto. Cyberprzestępcy mieli dostęp przynajmniej do niektórych nośników informacji już we wrześniu 2020 roku, czyli dziewięć miesięcy przed ujawnieniem operacji.
2. Najważniejsze z pozyskanych danych mogą być wykorzystywane do atakowania rządu i Polski przez kolejne lata - tak jak się to dzieje teraz. Obecnie na podstawie screenów maili, dotyczących wsparcia dla białoruskiej opozycji, Polska atakowana jest przed białoruskie media, powiązane z administracją Aleksandra Łukaszenki.
3. Wśród pozyskanych danych mogą być zarówno informacje dotyczące polskiej polityki, także poufne, bezpieczeństwa państwa, wojskowości, jak i czysto prywatne materiały (włamywano się do prywatnych skrzynek mailowych). Trzeba zakładać, że niektóre z nich są swego rodzaju „kompromatami” (wskazuje na to jeden z ostatnich wpisów na telegramowym kanale) – czyli materiałami, bardzo lubianymi przez rosyjskie służby, używanymi do kompromitowania konkretnych osób na tle obyczajowym. Kompromaty wykorzystywane są także do szantażowania osób publicznych.
4. Ponieważ osoby, do których się włamano, przyjęły wersję o niekomentowaniu wycieków, nie mamy możliwości sprawdzania na bieżąco, czy publikowane materiały są wiarygodne czy sfabrykowane. To sprawia, że łatwo o masową dezinformację.

Co sfabrykowano?

W trakcie briefingu podkreślono, że wśród opublikowanych materiałów znalazły się zarówno prawdziwe, jak i w pełni lub częściowo sfabrykowane dokumenty. Jedynym przedstawionym przykładem całkowitego fałszerstwa było krótkie pismo z nagłówkiem Kancelarii Prezesa Rady Ministrów. Częściowo sfabrykowane mają być trzy inne dokumenty, o tematyce wojskowej.

Udało mi się je zidentyfikować. Chodzi o pliki zawierające:

- projekt etatu baterii startowej typ 4 (Narew),

- projekt etatu kompanii zmechanizowanej (szwadronu zmechanizowanego), schemat (plik zawierający jednostronicową grafikę)

- bliźniaczy projekt, tyle że kompanii typ 5 (również plik z grafiką ze schematem).

Jak poinformowali eksperci, materiały te miały być po prostu fragmentami artykułu naukowego, zaś sfałszowano w nich zamieszczony tam zapis o zatwierdzeniu przez szefa Sztabu Generalnego WP. W oryginale oczywiście takiego zapisu nie było.

Nie wskazano jednak ani jednego screenu maila, który miałby być fałszywy.

Rząd pod presją cyberprzestępców

Szczegóły operacji pokazują, w jak groźnej sytuacji znalazł się polski rząd – choć nie wiadomo, czy zdaje sobie z tego sprawę.

Jeśli wśród pozyskanych materiałów są treści kompromitujące, poufne, zagrażające czyjemuś bezpieczeństwu, ujawniające działania polskich służb czy dotyczące strategicznych systemów państwa – mogą one w każdej chwili zostać ujawnione, co wywoła poważny kryzys, ale też mogą posłużyć do szantażowania konkretnych polityków. I to przez lata!

W tej chwili bowiem, całkowitą kontrolę nad zebranymi danymi mają cyberprzestępcy. Jeśli przekazali je służbom innego państwa, na przykład Rosji – to te właśnie służby kontrolują sytuację. A więc także – mają wpływ na polskich polityków, którzy nadal rządzą państwem.

Skali tego zagrożenia nie sposób dziś dokładnie ocenić, ponieważ kluczowe informacje są nieznane. Nie wiemy, dane od jakich polityków (poza ministrem Dworczykiem) znajdują się pod kontrolą cyberprzestępców, ani co się w nich znalazło. Pewne jest tylko jedno – afera #DworczykLeaks wcale się nie skończyła.