Rząd zhakowany. “Siedzieliśmy na tykającej bombie i ona właśnie wybuchła”

“Siedzieliśmy na tykającej bombie i ona właśnie wybuchła” - mówi jeden z naszych rozmówców ze służb.

Ostatni atak może być kolejną odsłoną olbrzymiej operacji dezinformacyjnej prowadzonej w interesie Rosji - zawiera jednak zupełnie nowe elementy niż poprzednie ataki, wymierzone w członków rządu i polityków PiS.

Hakerski atak na członka rządu to poważna sprawa. W każdym kraju członkowskim NATO taka akcja stawia na nogi służby cywilne i wojskowe, uruchamiane są procedury, które mają uchronić cały rząd przed dalszym wyciekiem informacji. Ale między 4 a 8 czerwca, gdy w Polsce rusza wielka operacja dezinformacyjna, a w komunikatorze Telegram pojawiają się dokumenty wykradzione z maila ministra Dworczyka, nie wiedzą o tym ani służby, ani sam bohater akcji - szef KPRM.

Tekst dziennikarzy Fundacji Reporterów.

Poufna Rozmowa

Piątek, 4 czerwca 2021 roku, 14:24. Na Telegramie - komunikatorze popularnym w krajach rosyjskojęzycznych - pojawia się tajemniczy wpis. „Wyciek informacji od Szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka” - pisze użytkownik Poufna Rozmowa.

Nie wiadomo, kim jest - ukrywa się za dziwacznym avatarem, fotografią dwóch psów w kołnierzach ochronnych. To samo zdjęcie można znaleźć w sieci m.in. na blogach i portalach poświęconych czworonogom.

Minutę później to samo konto udostępnia plik z wykazem polskich służb uprawnionych do szczepień przeciwko COVID-19. A w nim: dane kontaktowe do koordynatorów szczepień, m.in. z Agencji Bezpieczeństwa Wewnętrznego, Służb Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.

Od tej chwili Poufna Rozmowa codziennie wrzucać będzie kolejne porcje dokumentów "reklamowanych" jako wykradzione z konta Dworczyka: wstępnych projektów ustaw oraz rządowych i wojskowych opracowań, a także screenów maili. Wszystko podane w sensacyjnym tonie - z emotikonami - ognikami i wybuchami i podkręcającymi emocje komentarzami.

Wpisy zamieszczane są w języku polskim, jednak można zauważyć kilka błędów gramatycznych - np. w jednym z wpisów pada sformułowanie: „Prawdziwy powód poparcia opozycji na Białorusi od Szefa Kancelarii". To konstrukcja typowa dla języka rosyjskiego - zgodnie z polską gramatyką, zamiast „od” autor powinien napisać „przez”. W innym z wpisów pojawia się z kolei sformułowanie “tak rząd dba o Polakach” (zamiast Polaków). To może być poszlaka, choć jeszcze nie dowód, że za akcją stoją rosyjskojęzyczni hakerzy.

Przez cztery dni informacja o tym, że na kanale Telegram ktoś publikuje dokumenty rzekomo pochodzące z maila ministra Dworczyka, nie wydostaje się poza wąskie grono obserwujących kanał (dziś ma już ponad 1,7 tys. subskrybentów).

Wieczorem 8 czerwca na facebookowym koncie Agnieszki Dworczyk, żony ministra, pojawia się wpis o przejętym koncie jej męża. „Sprawcami zostały skradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi (oryginalna pisownia)” - czytamy w usuniętym już poście.

Wtedy operacja dezinformacyjna nabiera tempa. Fałszywy wpis z przejętego przez hakerów konta Agnieszki Dworczyk linkuje do dokumentów w kanale Poufna Rozmowa na Telegramie. Ma przyciągnąć uwagę i uwiarygadniać pliki, które się tam pojawią.

Sprawdziliśmy, w jaki sposób sfabrykowany wpis z przejętego konta Agnieszki Dworczyk rozchodził się w mediach społecznościowych. Okazuje się, że był to ruch wygenerowany w dużej mierze przez autentycznych użytkowników.

Pierwszy artykuł o „wycieku tajnych dokumentów” pojawił się 8 czerwca na stronie internetowej PolitycznaPolska.info. Strona publikuje treści w sensacyjnym tonie, z rejestru domen wynika, że została założona w styczniu 2020 roku przez Rafała Smagę. Smaga w rozmowie z nami wyjaśnia, że informację o włamaniu na konto Dworczyka jego portal zaczerpnął z Twittera, a ściślej - z konta Mirosława Szczerby, byłego rzecznika prezydenta Lecha Wałęsy. Szczerba rzeczywiście udostępnił wcześniej informację o wpisie na FB Agnieszki Dworczyk.

Smaga udostępnia tekst na PolitycznaPolska.info w kilku grupach na FB, gromadzących przeciwników PiS (narzędzie Crowdtangle do badania ruchu w internecie wskazuje, że to łącznie ponad 100 tys. użytkowników), w grupach w rodzaju Sympatycy Szkła Kontaktowego czy Ruch Ośmiu Gwiazd.

Z kolei na Twitterze ruch wokół wycieku początkowo usiłuje wprowadzić usunięte już anonimowe konto, następnie generują go już autentyczni użytkownicy. Grafikę z postem ze zhakowanego konta żony Dworczyka udostępnia np. konto o nazwie Marcin Koszela. Jego właściciel w rozmowie z nami wyjaśnia, że sam zrobił taką grafikę.

Późnym wieczorem 8 czerwca Onet podaje, że doszło do włamania na skrzynkę mailową szefa KPRM i wycieku dokumentów. W mediach rozpętuje się burza.

Co wiadomo o dokumentach?

Interesujące są metadane plików, które trafiły na kanał na rosyjskim Telegramie i od których zaczęła się operacja. Metadane to m.in. zaszyte w każdym pliku elektronicznym informacje o tym, kto i kiedy go utworzył.

Jeden z dokumentów - utworzony przez DOSR KPRM [Departament Oceny Skutków Regulacji w rządzie- red.] - modyfikowany był przez użytkownika o nazwie „blackmail” 3 listopada 2020 - w tym samym momencie, kiedy utworzono plik.

Z kolei CV szefa Rządowego Centrum Bezpieczeństwa Konrada Korpowskiego, które trafiło na Telegram, modyfikowane było przez użytkownika o nazwie „Montik!” 2 lutego 2021 roku.

To może oznaczać, że

• hakerzy mogli mieć wgląd w korespondencję ministra Dworczyka przez dłuższy czas (kilka miesięcy),
• część z dokumentów pochodzi z innego ataku lub ataków na konta Dworczyka (o tym, że jego email pojawiał się już wcześniej w kilku poważnych wyciekach, pisał portal niebezpiecznik.pl),
• dokumenty mogą pochodzić z innego źródła.

We właściwościach pliku z CV, słowo „nazwa” wyświetla się po rosyjsku.

O rosyjskich śladach w metadanych dokumentów jako pierwszy pisał białoruski kanał NEXTA. „Metadane wskazują na edycję przez obcojęzycznych użytkowników w rosyjskiej aplikacji. (...) Ciekawostką jest to, że w metadanych opublikowanych plików znalazły się rosyjskie symbole”.

Hipotetycznie ktoś mógł celowo edytować je tak, by sugerowały udział rosyjskojęzycznych użytkowników.

Jeden z dokumentów - wstępny projekt ustawy o rezerwach strategicznych - różni się jedynie drobnymi poprawkami od finalnie złożonego w trakcie procesu legislacyjnego. Projekt ustawy trafił do Sejmu 9 grudnia 2020, natomiast wersja dokumentu, który wyciekł na Telegram, datowana jest na 19 października 2020. Projekt ustawy pilotował Michał Dworczyk.

Do chwili naszej publikacji Centrum Informacyjne Rządu (CIR) nie potwierdziło ani nie zaprzeczyło, że ujawnione dokumenty pochodziły ze skrzynki mailowej Dworczyka. CIR nie odpowiedział też na nasze pytania o ich autentyczność.

Sam Dworczyk późnym popołudniem, w piątek 11 czerwca, wydał oświadczenie. Pisze w nim, że „część z ujawnionych informacji i rzekomych maili została spreparowana”. Minister przekonuje, że „odnoszenie się do poszczególnych wiadomości zamieszczanych na rosyjskiej platformie Telegram jest poważnym błędem, bo należy założyć, że celem prowadzonych wrogich działań jest m.in. zaangażowanie adresatów bądź nadawców wykradzionych informacji do potwierdzania lub zaprzeczania ich prawdziwości”.

Notatka służb na Berdyczów

Według naszych źródeł w służbach, prywatna skrzynka mailowa Dworczyka na portalu Wirtualna Polska znajdowała się na liście celów kampanii ataków phishingowych już w styczniu 2021.

Kulisy tej szeroko zakrojonej kampanii opisaliśmy w kwietniu na łamach TVN24.pl, a w wersji angielskiej - na portalu vsquare.org. Ujawniliśmy, że grupa hakerów mogła zdobyć olbrzymie ilości wrażliwych danych od kluczowych osób w państwie, a także posłów, analityków i dziennikarzy. Większość e-maili, które były celem ataków phishingowych, to skrzynki prywatne, głównie w domenach Wirtualnej Polski, ale także Interii i Onetu.

Nasi rozmówcy ze służb już wtedy bili na alarm: “Niefrasobliwość polityków, posłów, członków rządu w sprawie bezpieczeństwa cyfrowego jest niepojęta. Ilość wrażliwych informacji na niezabezpieczonych kontach jest żenująca. Te dane, które już mogły zostać przejęte, to może być w niedalekiej perspektywie krytyczny problem”.

Wykorzystanie danych kolejnych polityków było kwestią czasu.

W grudniu zebrał się w tej sprawie Zespół ds. Incydentów Krytycznych (stworzony przez RCB, Rządowe Centrum Bezpieczeństwa, komórkę odpowiedzialną za analizę zagrożeń i zarządzanie kryzysowe). Płk Konrad Koprowski, szef RCB, miał pytać wtedy przedstawicieli zespołu, czy hakerską operację uznać za incydent krytyczny. Jak wynika z naszych nieoficjalnych informacji, Służba Kontrwywiadu Wojskowego, a w ślad za nią pozostali członkowie zespołu uznali jednak, że nie ma takiej potrzeby.

Jak na ironię dziś CV płk. Koprowskiego z informacją o jego poświadczeniach bezpieczeństwa wisi na kanale Telegram (przypomnijmy - to w metadanych tego pliku są rosyjskojęzyczne ślady).

Mimo to, w styczniu KPRM opublikował internetowy poradnik dla posłów - jak chronić się przed podobnymi atakami. To kolorowa, 22 stronicowa broszura, w której omawiane są zasady bezpieczeństwa w Internecie. “Zrobili poradnik, ale w żaden sposób nie są w stanie wprowadzić w tej sprawie dyscypliny w rządzie, a tym bardziej w parlamencie czy u niższych rangą działaczy PiS” - wzdycha jeden z naszych rozmówców ze służb.

Jak ustaliliśmy na początku marca 2021 roku powstaje klauzulowana notatka podpisana przez CSiRT-y (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego MON, NASK i GOV). Zawiera ustalenia służb dotyczące hakerskich ataków prowadzonych przez grupę realizującą rosyjskie cele. Do notatki dołączony jest plan działań, m.in. wybór CERT ABW jako koordynującego działania w tej sprawie, a także propozycja „konsolidacji zgłoszonych przypadków krajowych na poziomie jednej śledczej jednostki prowadzącej”. Notatka mówi także o „organizacji procedury weryfikacji urządzeń, co do których istnieją podejrzenia, że są skompromitowane”.

Ale w ślad za notatką nie idą żadne działania. Pełnomocnik rządu ds. cyberbezpieczeństwa nie podejmuje żadnych nowych decyzji. Nikt nie wprowadza planu działań w życie. “KPRM zlekceważyła sprawę, priorytetem było dla nich co najwyżej odzyskiwanie zhakowanych kont” - mówią nasi rozmówcy.

Do tej pory nie wiadomo, kto ze strony administracji rządowej ma koordynować działania w sprawie operacji dezinformacyjnej z użyciem zhakowanych maili.

Być może dlatego, gdy informacja o ataku na skrzynkę Dworczyka i wycieku dokumentów pojawia się mediach we wtorek 8 czerwca, przez kilka godzin rząd nie wydaje w tej sprawie żadnego komunikatu. Dopiero kilkadziesiąt minut po północy Dworczyk publikuje na Twitterze pierwsze oświadczenie.

Chwilę przed południem 9 czerwca Stanisław Żaryn, rzecznik koordynatora służb specjalnych i główny rządowy komentator w dziedzinie rosyjskiej dezinformacji, pisze na Twitterze: „W związku oświadczeniem Pana Ministra Michała Dworczyka wydanym we wtorek informuję, że służby specjalne analizują wydarzenia opisane przez Pana Ministra w ww. oświadczeniu. Zgłoszenie w tej sprawie wpłynęło do #ABW w dniu wczorajszym”.

Czy to oznacza, że służby oraz sam Dworczyk dopiero kilkanaście godzin po fałszywym wpisie na koncie żony ministra zaczęli badać sprawę? Czy gdy 4 czerwca na kanale Poufna Rozmowa pojawiły się pierwsze dokumenty mogące pochodzić z prywatnego maila Michała Dworczyka służby nic o tym nie wiedziały? Stanisław Żaryn, rzecznik prasowy koordynatora służb specjalnych, nie odpowiedział na nasze pytania.

Gdy pytamy KPRM, czy atak na konto ministra został uznany za incydent krytyczny, kancelaria odsyła nas do… komunikatu Dworczyka z Twittera. Minister Dworczyk nie odpowiedział na naszą prośbę o rozmowę.

Hakerzy sięgają po nowe narzędzia

Najnowszy atak hakerski do pewnego stopnia przypomina poprzednie wymierzone w członków rządu i polityków PiS. Kulisy wielomiesięcznej i szeroko zakrojonej operacji hakerów - za którą według naszych ustaleń może stać realizująca rosyjskie cele grupa Ghostwriters, działająca w Europie - opisywaliśmy w portalu TVN24.pl.

Gdzie tkwią podobieństwa? Po pierwsze do ataku na ministra Dworczyka ponownie wykorzystano prywatne skrzynki pocztowe w portalu wp.pl. Po drugie, celem ataku byli jednocześnie członkowie rodziny polityka. Hakerzy wykorzystali do dezinformacji przejęte konta w mediach społecznościowych.

Gdy haker je pozna ma już otwartą drogę do przejęcia skrzynki mailowej. A z dostępem do maila łatwo mu wedrzeć się na czyjś profil na Facebooku lub Twitterze. Przejęte w ten sposób konta wykorzystywane są następnie w atakach dezinformacyjnych.

Podobny schemat miały ataki na marszałek Elżbietę Witek, posła Marka Suskiego czy minister Marlenę Maląg. W poprzednich atakach wspólnym mianownikiem była narracja uderzająca w relacje polsko-litewskie.

Ostatni atak na Dworczyka zawiera jednak zupełnie nowe elementy. Po raz pierwszy w ataku na polskiego polityka został użyty kanał na Telegramie. “Administrator grupy na Telegramie jest trudny do namierzenia, a sam Telegram jest bardzo popularny w rosyjskojęzycznych krajach” - podkreśla w rozmowie z Fundacją Reporterów Michael Colborne z Bellingcata, międzynarodowej grupy dziennikarzy śledczych i ekspertów OSINT (open source intelligence techniques), która ujawniła m.in. sprawców zamachu na Aleksieja Nawalnego.

Ze względu na trudności z namierzeniem użytkowników, z komunikatora korzysta wielu rosyjskich i białoruskich opozycjonistów. Ale stał się on też popularny w innych krajach.

Atak na Dworczyka, inaczej niż poprzednie, nie jest jednorazowy - tym razem to wielodniowa operacja, w której co kilka-kilkanaście godzin pojawiają się nowe dokumenty i sensacyjne zapowiedzi kolejnych partii przecieku. Według portalu Cyberdefence24 taki zabieg może być przynętą - celem ataku mogą być także dziennikarze i politycy, ściągający w nieostrożny sposób dokumenty Dworczyka z Telegrama. Nie ma jednak na razie dowodu, że pliki rzeczywiście zawierają niebezpieczne oprogramowanie.

W najnowszej kampanii dezinformacyjnej nowy jest też kontekst i temat - tym razem nieznani hakerzy skupiają się na relacjach polsko-białoruskich i to wokół nich skupione są wpisy i dokumenty udostępniane na Telegramie. Głównym celem dotychczasowych ataków były relacje polsko-litewskie, wcześniej stosunki polsko-ukraińskie. Stałym elementem dezinformacyjnych narracji jest podkopywanie sojuszu Polska-USA, relacji z NATO i Unią Europejską.

Operacje manipulacyjne zbiegają się często z ważnymi wydarzeniami politycznymi. Fałszywa informacja o radioaktywnej chmurze znad Litwy z marca 2021 - element kampanii Ghostwriters - zbiegała się w czasie z rozmowami rządów Polski i Francji o budowie w Polsce elektrowni atomowej.

Dezinformacja wokół Białorusi

Dzisiaj - gdy konflikt na linii Polska-Białoruś (wspierana przez Putina) eskaluje - hakerzy mogą go podsycać, uderzając w polityka, który był zaangażowany w pomoc białoruskiej opozycji. Paweł Łatuszka, jeden z liderów białoruskiej opozycji uważa, że tak jest właśnie w sprawie Dworczyka.

Jak wynika z analizy Fundacji Reporterów, to przede wszystkim treści wymierzone w białoruskich opozycjonistów. Największe natężenie dezinformacji można było zaobserwować po uwięzieniu Romana Protasewicza. Anonimowe konta na TT powielały wówczas np. narrację o drogim apartamencie, jaki Protasewicz miał wynajmować w Warszawie. Pisały też, że był członkiem ukraińskiego pułku Azowa. Konta używały fejkowych fotografii, jedno z nich linkowało często do polskiej edycji Sputnika, jednego z głównych narzędzi kremlowskiej propagandy.

Także w sprawie Dworczyka wiele wskazuje na to, że ktoś celowo chce zaognić stosunki polsko- białoruskie, choć na tę chwilę nie można przesądzić, czy to jedyne podłoże tej sprawy.

MB pisze do ministra

Jeden z najnowszych wpisów na kanale w serwisie Telegram, który pojawił się w piątek 11 czerwca to zrzut ekranu z rzekomej korespondencji mailowej pomiędzy Michałem Dworczykiem, premierem Morawieckim i kimś o inicjałach MB.

28 marca 2021 roku Dworczyk przekazuje Morawieckiemu mail, który dostał od MB - w nim złośliwe żarty na temat Joanny Kluzik-Rostkowskiej, polityczki Koalicji Obywatelskiej, która miała zwrócić się do MB z prośbą o pomoc w przygotowaniu tekstu na konferencję.

W mailu, premier pyta: “do kogo?”, Michał Dworczyk zaś miał wyjaśniać, że chodzi o kolegę - „były dyplomata służący ojczyźnie na drugim etacie, potem pracownik fundacji, dziś znów w służbie RP”.

Sama Kluzik-Rostkowska, komentując sprawę na Twitterze, wrzuca zrzut ekranu wiadomości wysłanej do Marka Bućko (MB). “Nie miałam z nim kontaktu od kilkunastu lat, napisałam do niego na messengerze przed konferencją na temat Białorusi, bo szukałam kogoś, kto mógłby przetłumaczyć tweeta o konferencji na język białoruski. Nigdy nie odpowiedział na tę moją wiadomość” - mówi nam posłanka KO.

Marek Bućko, w latach 2000-2005 zajmował wysokie stanowisko radcy ambasady Polski w Białorusi, czyli właściwie zastępcy ambasadora. Zajmował się kontaktami z partiami politycznymi, opozycją i organizacjami mniejszości narodowych. Z Białorusi Bućko wyjeżdżał w maju 2005 roku jako persona non grata. Później, przez 10 lat, do 2016 roku, był szefem portalu Kresy24.pl. Działał też, razem z Michałem Dworczykiem, w fundacji Wolność i Demokracja, pomagającej Polakom na Wschodzie.

Nie chce komentować sprawy wycieku, nie potwierdza również, że jest autorem maila, który trafił na Telegram. Obiecuje, że gdy zapozna się szczegółowo z treścią maila odpowie na dodatkowe pytania - po czym przestaje odpowiadać na próby kontaktu.

Wątpliwości co do wiarygodności maila budzi godzina, o której ostatniego maila w opublikowanym przez hakerów wątku wysłać miał Mateusz Morawiecki. Wedle zrzutu ekranu z kanału na Telegramie, premier odpowiedział o 21:05 na maila z godziny… 22:24.

Portal Niebezpiecznik.pl tak tłumaczy tę zagadkę: „Czy to przeoczenie? Błąd kogoś, kto preparował wiadomość i zarazem dowód na dezinformację? Być może… Ale różnica w czasach może też wynikać po prostu z innej strefy czasowej, w której przebywał: a) albo oglądający e-maila i robiący mu screenshota, b) albo sam premier, bo to w treści jego e-mail pojawia się cytat z “przyszłą” godziną, która dla niego mogła być godziną aktualną”.

Centrum Informacyjne Rządu nie odpowiedziało na nasze pytanie, czy premier korzysta z prywatnego maila, który pojawił się w korespondencji udostępnionej przez hakerów.

Współpraca Julia Dauksza, Fundacja Reporterów