Raport: Cyberprzestępcy, stojący za aferą mailową są powiązani z białoruskimi władzami

Według raportu Mandiantu, Białoruś ma być też odpowiedzialna za przynajmniej część kampanii dezinformacyjnej Ghostwriter, realizowanej na poziomie technicznym właśnie przez UNC1151.

Mandiant nie wyklucza również udziału Rosji w całej sprawie, choć – jak twierdzi – nie ma dziś wystarczających dowodów, by tę tezę potwierdzić (ani też by uznać ją za bezzasadną). Wcześniej polskie służby oraz rząd łączyły działania cyberprzestępców ze Wschodem, wskazywały jednak właśnie na powiązania z Rosją.

Mimo ujawnienia, kto stoi za aferą oraz szeregiem innych dezinformacyjnych akcji, kanały publikujące materiały w ramach #DworczykLeaks wciąż działają, a autentyczność zamieszczanych tam treści została potwierdzona już wielokrotnie. W środę, 17 listopada, polskojęzyczna strona Poufna Rozmowa opublikowała kolejny mail. Tym razem Michał Dworczyk podzielił się z premierem swoją opinią na temat ministry edukacji Anny Zalewskiej (mail jest z 2018 roku). Stwierdził, że jest ona „przeżarta kłamstwem do szpiku kości”.

Warto pamiętać, że ktokolwiek stał za włamaniem na prywatną skrzynkę mailową Dworczyka, miałby dużo trudniejsze zadanie, gdyby skrzynka była lepiej zabezpieczona. Było to tym istotniejsze, że w prywatnej korespondencji minister realizował ogromną część swojej służbowej, politycznej działalności. Była to zresztą praktyka powszechna – jak wskazują adresy mailowe, widoczne w wyciekach korespondencji, prawie wszyscy komunikowali się ze sobą za pomocą prywatnych skrzynek mailowych.

Białoruskie władze, wojsko i finansowanie

Analitycy firmy Mandiant badają działalność grupy UNC1151 oraz kampanię dezinformacyjną Ghostwriter od 2017 roku. Ze względu na sposób prowadzenia operacji w ramach afery mailowej od początku wskazywano, że to właśnie UNC1151 może stać za tym wyciekiem. Najnowszy raport firmy oficjalnie ujawnia polityczne powiązania grupy.

„Mandiant z dużą pewnością ocenia, że ​​UNC1151 jest powiązany z władzami białoruskimi i z umiarkowaną pewnością, że jest powiązany z białoruskim wojskiem. (…) Z dużą pewnością oceniamy także, że ​​operacje informacyjne Ghostwriter są prowadzone na rzecz białoruskiego rządu, a z umiarkowaną pewnością, że są sponsorowane przez Białoruś” – napisali analitycy.

Co do Rosji, w komunikacie padają następujące stwierdzenia: „Mandiant zbadał możliwość udziału Rosji w operacjach UNC1151 i Ghostwriter, ale nie mamy wystarczających dowodów, aby potwierdzić lub obalić rolę w tych działaniach. Mandiant zauważył, że TTP (taktyki, technologie i procedury – przyp. red.) wysokiego poziomu pokrywają się z operacjami rosyjskimi, a wiele operacji namierzania i informacji jest zgodnych z rosyjskimi celami. Biorąc pod uwagę bliskie więzi między rządami, współpraca jest prawdopodobna; jednak nie odkryliśmy bezpośrednich dowodów na zaangażowanie rządu rosyjskiego”.

O białoruskiej siatce informowaliśmy już w lipcu

Raport firmy Mandiant w dużym stopniu potwierdza także moje wcześniejsze ustalenia. Już 7 lipca, miesiąc po wybuchu afery, opisywałam, że treści z maili Michała Dworczyka w rosyjskojęzycznych mediach społecznościowych rozprowadza skoordynowana grupa, powiązana ze służbami Białorusi lub Rosji.

Podkreślałam także, że #DworczykLeaks nabierała tempa w dwóch momentach:

- w trzeciej dekadzie kwietnia (na kanale rosyjskojęzycznym), po spotkaniu Putina i Łukaszenki, na którym ustalono zwiększenie współpracy między służbami białoruskimi i rosyjskimi,

- na początku czerwca: dzień po oficjalnej informacji o zacieśnieniu współpracy między służbami białoruskimi i rosyjskimi uruchomiono polskojęzyczny kanał na Telegramie.

„Wydaje się, że cel tej operacji jest jasny: wycieki mają uderzyć w wiarygodność polskiego rządu wobec zachodnich partnerów. Każdy, kto je przeczyta, musi dojść do wniosku, że nieoficjalne kontakty z polskimi władzami są obarczone wysokim ryzykiem ich upublicznienia. To utrudni utrzymanie międzynarodowych relacji, nie tylko w Unii Europejskiej czy ze Stanami Zjednoczonymi, ale także w NATO” – pisałam wówczas.

- „Drugi cel, to cel wewnętrzny białoruskich władz: przekonać własnych obywateli, że za protestami białoruskiej opozycji po wyborach prezydenckich w sierpniu 2020 roku stały inne państwa, w tym Polska, a nie sami Białorusini”.

We wrześniu pokazałam natomiast, że analiza rozchodzenia się treści z kanału rosyjskojęzycznego #DworczykLeaks prowadzi do rosyjskiej grupy medialnej Patriot Media Group, związanej z rosyjskim oligarchą Jewgienijem Prigożinem, twórcą najbardziej znanej rosyjskiej fabryki internetowych trolli.

Poza kanałem na Telegramie, powiązanym z Patriot Media Group, treści były regularnie rozprowadzane przez dwa kanały białoruskie. Aktywność obu wskazywała na ich przynależność do Telegramowego ekosystemu „siłowników”, czyli kanałów powiązanych z białoruskimi, ale też i rosyjskimi służbami.

Najpierw atakowano NATO

Grupa UNC1151 działa od kilku lat, koncentrując się głównie na Ukrainie, Litwie, Łotwie, Polsce i Niemczech. Celami jej ataków byli także niektórzy białoruscy opozycjoniści, zwłaszcza w okresie przed wyborami prezydenckimi na Białorusi w 2020 roku. Nie atakowano natomiast białoruskich ani rosyjskich podmiotów państwowych.

„Dane techniczne, pochodzące z wrażliwych źródeł, wskazują, że operatorzy stojący za UNC1151 prawdopodobnie znajdują się w Mińsku na Białorusi. Ocena ta opiera się na wielu źródłach, które powiązały tę działalność z osobami znajdującymi się na Białorusi. Ponadto oddzielne dowody techniczne potwierdzają związek między operatorami UNC1151 a białoruskim wojskiem” – podaje Mandiant.

Na te obserwacje nakłada się monitoring operacji dezinformacyjnych Ghostwirter. Te, które realizowano przed 2020 rokiem, miały głównie treść uderzającą w NATO. Ich celem miało być utrudnienie regionalnej współpracy w zakresie bezpieczeństwa, w obszarze obejmującym kraje nadbałtyckie, Polskę i Ukrainę. Rozpowszechniano fałszywe treści:

- że wojska NATO są zagrożeniem dla mieszkańców, szkodzą miejscowej ludności, a jednocześnie ich utrzymanie dużo kosztuje,

- że wojska NATO rozpowszechniają koronawirusa,

- że żołnierze NATO dokonują przestępstw kryminalnych.

Tego rodzaju przekazy pokrywają się ze znaną, rosyjską narracją, prowadzoną od wielu lat.

A potem Polskę i Litwę

Z obserwacji Mandiant wynika jednak, że od czasu wyborów prezydenckich na Białorusi w sierpniu 2020 kampanie Ghostwriter stały się bliższe interesom Mińska. Zarówno na Litwie, jak i w Polsce promowano narracje utrudniające współpracę polsko-litewską, dyskredytujące białoruską opozycję.

Pojawiły się też fałszywe artykuły, w których udowadniano, że protesty na Białorusi zostały zorganizowane przez USA, NATO, Polskę, Litwę albo po prostu przez Zachód. Taka narracja jest zbieżna z tym, o czym regularnie informują białoruskie media państwowe.

„Od wyborów w sierpniu 2020 r. 16 z 19 operacji Ghostwritera promowało narracje zniesławiające rządy Polski i Litwy. Z pozostałych trzech narracji dwie krytykowały NATO, a jedna UE” – podaje Mandiant.

Część z nich była rozpowszechniana w języku rosyjskim, co oznacza, że miały one wpływać także na odbiorców rosyjskojęzycznych. Taka sytuacja miała miejsce także w przypadku #DworczykLeaks – jeden z dwóch aktywnych kanałów na Telegramie (ten, którego wpisy rozprowadzały kanały powiązane z białoruskimi służbami i z grupą medialną Prigożina) używał – i wciąż to robi - języka rosyjskiego do publikowania wykradzionych treści.

Nadal jednak nie wiadomo, kto pisze dla Ghostwriter treści w różnych językach, w tym po polsku, ale także po angielsku, litewsku, łotewsku, ukraińsku i niemiecku. Być może w tym celu angażowano osoby z innych państw niż Białoruś czy Rosja. Może się więc okazać, że przy tworzeniu treści w języku polskim pracował ktoś z naszego kraju.

Zalewska „zachowuje się jak baba z magla”

Mimo oficjalnego ujawnienia autorów operacji, kanały i strony, na których publikowane są wykradzione maile Michała Dworczyka i inne polskie dokumenty, nadal działają. Rządzący milczą na ich temat, jednak nie zaprzeczają prawdziwości korespondencji, zaś opisane w nich okoliczności zostały kilkukrotnie potwierdzone, m.in. przez Biankę Mikołajewską, dziennikarkę OKO.press.

W środę 17 listopada strona Poufna Rozmowa opublikowała kolejny fragment korespondencji między premierem Morawieckim a Michałem Dworczykiem. Wynika z niego, że premier przesłał do wiadomości Dworczykowi dwa sms-y Anny Zalewskiej, która wówczas (maile są z maja 2018 roku) pełniła funkcję ministry edukacji narodowej.

Jej wiadomości nie zawierają nic kontrowersyjnego, dotyczą wewnętrznych kwestii – w jednym Zalewska zaleca ostrożność, jeśli chodzi o Instytut w Międzylesiu, w drugim odnosi się do „sytuacji w Bystrzycy”.

Robi wrażenie natomiast opinia Dworczyka na temat Zalewskiej, wyrażona w mailu: „Przepraszam, ale powiem krótko – Anka zachowuje się jak baba z magla. Na dodatek przeżarta kłamstwem do szpiku kości…”.

W innej korespondencji premier i jego doradcy przyznają, że film prezydenta Andrzeja Dudy, nagrany podczas kampanii prezydenckiej w 2020 roku, w ramach akcji #Hot16Challenge, czyli słynna piosenka „Ostry cień mgły” to „wpadka, z której trzeba wyjść, ale nie w taki sposób, żeby ją ciągle przypominać”.

Tego typu treści jest bardzo dużo. Ujawniają one polityczną kuchnię obecnego rządu, w której głównym „daniem” jest PR. Odbiór społeczny okazuje się wartością niemal najważniejszą w polityce premiera.

Dużo istotniejsze politycznie materiały są publikowane na rosyjskojęzycznym kanale. To tam ujawniono plany polskiego rządu dotyczące wsparcia białoruskiej opozycji, pomysł na akcję przeciwko białoruskim funkcjonariuszom służb wewnętrznych, czy raporty dotyczące stanu polskich wojsk oraz nowego uzbrojenia.

Ujawnienie przez Mandiant, z kim powiązani są autorzy operacji Ghostwriter, nie kończy wcale działań cyberprzestępców. Afera mailowa wciąż trwa.