Sejm o hakerze maili Dworczyka na tajnym posiedzeniu, a w sieci hulają kolejne dokumenty

W środę, 16 czerwca, odbędzie się niejawne posiedzenie Sejmu, zwołane na wniosek premiera Mateusza Morawieckiego z powodu ostatnich cyberataków na polityków, czyli przede wszystkim wycieku danych ze skrzynki mailowej szefa Kancelarii Premiera ministra Michała Dworczyka.

Informacje zostaną przedstawione wyłącznie do wiadomości parlamentarzystów, przynajmniej oficjalnie nic się na ten temat nie dowiemy – mimo że sprawa jest publiczna, a nie niejawna.

Haker bowiem codziennie publikuje nowe dokumenty, które mają pochodzić z ministerialnego maila. Z najnowszych wynika, że sam premier korespondował ze swoimi najbliższymi rządowymi współpracownikami, wykorzystując skrzynkę pocztową na gmailu – i kierując maile także na prywatne skrzynki. Ustalano w ten sposób kwestie istotne z punktu widzenia polityki państwa, m.in. strategię reagowania dotyczącą budowy gazociągu Nord Stream, polityki polsko-ukraińskiej czy nawet kolejnych lockdownów w Polsce. Oczywiście - jeśli publikowane przez hakera na platformie Telegram screeny maili są prawdziwe.

O czym mailował premier?

Wśród najnowszych materiałów, udostępnionych w sieci, są:

- projekt ustawy o wsparciu realizacji zadań państwa w przypadku wystąpienia stanu zagrożenia życia lub zdrowia ludności,

- zestawienie zapotrzebowania na środki Rządowego Centrum Bezpieczeństwa na 2022 rok.

W przypadku tych dokumentów nie ma dowodów, że pochodzą one ze zhakowanej skrzynki. Poza nimi haker zamieścił jednak też cztery screeny mailowej korespondencji, z udziałem premiera Morawieckiego, ministrów: Jarosława Gowina, Adama Niedzielskiego, Tadeusza Kościńskiego, rzecznika rządu Piotra Müllera, szefa Kancelarii Premiera Michała Dworczyka i innych pracowników KPRM. Korespondencja toczyła się głównie za pomocą gmaila.

Pokazane screeny dają wgląd w rządowe rozmowy na temat:

- sytuacji w czasie pandemii – w mailu ze stycznia 2021, Jarosław Gowin wytyka premierowi nieprzewidywalność w działaniach rządu w walce z pandemią,

- reakcji na uchwałę ukraińskiego rządu w sprawie upamiętnienia bohaterów narodowych, wśród których miał być Kłym Sawur (właściwie Dmytro Klaczkiwski), główny sprawca ludobójstwa wołyńskiego,

- czy premier powinien zabrać głos („mocny”) w sprawie wstrzymania budowy Nord Stream 2, w lutym 2021 roku.

- użycia wojska "w aktualnej sytuacji", czyli w czasie masowych protestów Strajku Kobiet. Mail pochodzi z wieczora 27 października 2020 r. Dyskusja toczyła się tuż po opublikowaniu na kanale YT Prawa i Sprawiedliwości wystąpienia Jarosława Kaczyńskiego, w którym wzywał on do obrony świątyń.

W mailu, adresowanym m.in. do premiera, minister Dworczyk wyjaśnia, dlaczego jego zdaniem użycie wojska byłoby złym rozwiązaniem i nie należy tego robić, lub wykorzystać żołnierzy jedynie do zabezpieczenia protestów w niektórych sytuacjach. Korespondencja wskazuje jednak, że taki pomysł - użycia wojska do opanowania sytuacji w kraju - rozważano.

Na niższym poziomie, bez udziału premiera i ministrów, dyskutowano mailowo choćby o wynikach rankingu zaufania do polityków w kwietniu 2021 roku, z których wynikało, że liderzy Zjednoczonej Prawicy poprawili odrobinę swoje wyniki.

„Powoli, powoli, mozolnie, małymi kroczkami ale do przodu… Dzięki panowie, bo to dzięki Waszej współpracy i pomocy” – miał pisać Michał Dworczyk m.in. do Karola Kotowicza, jednego z bohaterów opisywanego przez OKO.press tzw. układu wrocławskiego, a obecnie sekretarza dyrektora Centrum Informacyjnego Rządu.

Wszystkie adresy mailowe widoczne w tych korespondencjach, to adresy prywatnych skrzynek, głównie na gmail.com, oraz należąca do Michała Dworczyka skrzynka na wp.pl. Wciąż nie wiemy, czy opublikowane maile są prawdziwe, czy w jakiś sposób sfabrykowane. Być może informację na ten temat w środę poda parlamentarzystom premier, podczas zamkniętego posiedzenia Sejmu.

Niespójności w metadanych?

Sprawdziłam również metadane nowo opublikowanych plików. Okazuje się, że jeden z nich znów zawiera informację o elemencie formatowania, zapisaną cyrylicą (pozostałe dane są zapisane alfabetem łacińskim) – podobnie jak trzy opublikowane wcześniej.

Chodzi o plik, pochodzący z Kancelarii Premiera, zawierający informacje dotyczące projektu ustawy o zarządzaniu bezpieczeństwem narodowym. Co ważne – plik w treści i nazwie jest datowany, ma pochodzić z 1 grudnia 2020 roku, natomiast metadane wskazują, że został on stworzony oraz zmodyfikowany 2 lutego 2021 roku.

Oczywiście, ta niespójność może być efektem prac autora dokumentu nad plikiem (np. kopiowania go z innego pliku), ale trzeba szybko wyjaśnić, czy to naturalny efekt prac, czy już dowód na fabrykowanie plików przez hakera.

Przyglądając się dokładniej metadanym plików (indywidualne informacje o każdym pliku) widać jeszcze jedną zadziwiającą cechę: niektóre z nich (ale nie wszystkie!) mają zadziwiająco krótki czas edycji - to czas od pierwszego zapisu do dokonania w pliku ostatniej zmiany.

Znalazłam kilka plików z czasem edycji 1 minuta, są też takie, których czas edycji to… zero minut. Może to wskazywać, że pliki rzeczywiście nie są oryginalne – choć niekoniecznie muszą być „fabrykowane” (takiego określenia użył minister Dworczyk w swoim drugim oświadczeniu na temat przecieku).

Być może zostały skopiowane z oryginałów i na Telegramie publikowane są obecnie wyłącznie ich kopie, stworzone przez hakera. Taka wersja zmuszałaby do postawienia pytania, od jak dawna haker ma dostęp do ministerialnego maila, opisywane pliki mają bowiem w metadanych dość odległe daty powstania. Nie da się odpowiedzieć na to pytanie bez dostępu do oryginalnych plików, znajdujących się w skrzynce Dworczyka.

W trzech plikach autorem ich ostatniej modyfikacji jest ktoś podpisujący się jako „montik!”. Nie wiadomo, czy to czyjś pseudonim, a jeśli tak, to czyj i czy ma jakikolwiek związek z hakerem, czy raczej np. z jakimś pracownikiem Kancelarii Premiera.

Czwarty plik z cyrylicą

Przyjrzyjmy się bliżej plikom, w metadanych których pojawiła się cyrylica i przypomnijmy wcześniejsze ustalenia. Na razie mamy takie cztery w opublikowanym zbiorze, a zapisane cyrylicą informacje zawsze dotyczą formatowania plików. Daty ich edycji wskazują, że treść dokumentów nie była zmieniana w ciągu ostatnich miesięcy. Są to:

- CV obecnego szefa Rządowego Centrum Bezpieczeństwa, płk. Konrada Korpowskiego,

- pismo wiodące do kompletu dokumentów dotyczących prac legislacyjnych nad projektem ustawy o rezerwach strategicznych, pochodzące z Departamentu Analiz Przygotowań Obronnych Administracji KPRM.

- i najnowszy plik, dotyczący ustawy o zarządzaniu bezpieczeństwem narodowym.

W metadanych każdego z tych dwóch plików cyrylicą zapisane jest jedno słowo, w części dotyczącej formatowania (a dokładnie: nagłówków).

Czwarty materiał to wojskowa prezentacja, której autorem – wg meta danych – jest płk Krzysztof Gaj, obecny doradca Dworczyka, wcześniej związany z Antonim Macierewiczem, który musiał odejść z wojska po ujawnieniu jego antysemickich i antyukraińskich wypowiedzi. Tutaj rosyjskich słów jest znacznie więcej, ale również dotyczą formatowania prezentacji.

Jak te dane odczytać? Pamiętajmy, że metadane plików można modyfikować. To właśnie powoduje, że łatwe skojarzenia, związane z faktem użycia cyrylicy, nie muszą być prawdziwe i niekoniecznie potwierdzają popularną tezę, że za atakiem hakerskim na skrzynkę ministra stojąc rosyjskie lub białoruskie służby. Jeśli bowiem tak by było, dlaczego rosyjski alfabet pojawia się wyłącznie w danych dotyczących formatowania, a nie w nazwie autora czy tytule? I dlaczego te same metadane pokazują, że pliki były edytowane kilka miesięcy temu (plik Gaja – 19 października 2020 roku, plik Korpowskiego – 2 lutego 2021, plik z departamentu KPRM – 3 listopada 2020), a nie ostatnio? Jeśli metadane zostały spreparowane i edytowano daty tak, by odsunąć podejrzenie o rosyjskiej/białoruskiej ingerencji w pliki, dlaczego zostawiono wpisy w cyrylicy, widniejące kilka wersów obok? Byłby to poważny błąd preparujących.

Są też inne możliwości. Cyrylicy mógł użyć haker podczas edycji metadanych – byłby to tzw. błąd intencjonalny, którego cel jest oczywisty: skierowanie podejrzeń na Rosjan lub Białorusinów. Trzecia opcja: metadanych nikt nie edytował, są prawdziwe, a cyrylica pochodzi od autorów plików. Czyli od dwóch ważnych polskich wojskowych oraz z Kancelarii Premiera. Czy ktokolwiek w KPRM posługuje się oprogramowaniem w rosyjskiej wersji językowej?

Przy obecnym stanie wiedzy na temat opisywanego hakerskiego ataku żadnej z powyższych możliwości nie jesteśmy w stanie wykluczyć.

Operacja Ghostwriter? Niekoniecznie

Jak już informowaliśmy, modus operandi ataku hakerskiego na maila Dworczyka każe go porównać do wcześniejszych cyberataków, do których również użyto kont polskich polityków. Było ich już naprawdę dużo, choć dotychczas żaden atak nie dotknął premiera ani nie ujawnił wewnętrznej, rządowej korespondencji.

Kompromitujące wpisy lub fałszywki pojawiły się już na kontach: posłanki Joanny Borowiak (PiS), posła Marcina Duszka (PiS), Marleny Maląg (PiS), Iwony Michałek (Porozumienie), Marka Suskiego (PiS), Włodzimierza Bernackiego (PiS), Arkadiusza Czartoryskiego (PiS), byłego posła Andrzeja Melaka (PiS), byłego senatora Jarosława Chmielewskiego (PiS). Zhakowano również stronę internetową marszałkini Sejmu Elżbiety Witek, a na Twitterze powstało fałszywe konto senatora PiS Marka Martynowskiego.

Amerykańska firma Fire Eye, zajmująca się cyberbezpieczeństwem, przypisała te ataki grupie hakerów UNC1151, podejrzanej o działalność szpiegowską finansowaną przez państwa (prawdopodobnie przez Rosję), a realizowaną przez nią operację nazwała „Ghostwriter”. Jest prowadzona nie tylko w Polsce, ale także na Ukrainie i w krajach nadbałtyckich, a ostatnio została rozszerzona na Niemcy.

Hakerzy z UNC1151 rozprowadzają złośliwe oprogramowanie, by zdobyć dane uwierzytelniające (np. loginy i hasła) użytkowników. Celują przy tym głównie w podmioty rządowe, wojskowe, dziennikarzy i aktywistów. Raz nawet rozesłali mailem fałszywy newsletter Polskiego Radia. Hakują strony internetowe, tworzą fałszywe witryny, włamują się na konta mailowe.

Sprawa jest publiczna, wyjaśnienia też powinny takie być

Podobieństwa ich działań do ataku hakerskiego na konto Michała Dworczyka są wyraźne, ale jednocześnie widać też istotne różnice.

Ta operacja, w przeciwieństwie do opisanych powyżej, jest rozciągnięta w czasie, informacje z maila ministra (prawdziwe lub nie) prezentowane są codziennie od 4 czerwca. Tym razem nie chodzi więc o wprowadzenie do opinii publicznej konkretnych treści, lecz o ośmieszenie ministra, być może także – zdyskredytowanie wiarygodności całego polskiego rządu.

Poza tym nie wykorzystano ani fałszywych stron, ani nie włamano się na żadną witrynę, by rozprowadzić prezentowane materiały. To spowodowało, że przez cztery pierwsze dni istnienia publikującego dane z wycieku kanału na Telegramie nie zdobyły one zainteresowania. Sprawa stała się publicznie znana, dopiero gdy haker włamał się na facebookowe konto żony Michała Dworczyka.

Wciąż nie wiemy, co jeszcze zostało wykradzione z ministerialnej skrzynki ani tym bardziej – kto to zrobił. Politycy Zjednoczonej Prawicy wskazują na służby ze Wschodu jako na te, które mają stać za całym atakiem – ale na tym etapie (jeśli chodzi o informacje dostępne publiczne) trudno wykluczyć inne możliwości.

Motywację do działań dyskredytujących Dworczyka, a także rząd Zjednoczonej Prawicy mogą być szerokie – od prywatnej zemsty, przez oburzenie choćby nowymi propozycjami podatkowymi (niekorzystnymi m.in. dla tzw. wolnych strzelców z branży IT), po działanie czysto polityczne. Dobrze, że premier zdecydował się poinformować parlamentarzystów o tym, co wiadomo o hakerskich włamaniach. Źle, że stanie się to na niejawnym posiedzeniu Sejmu – sprawa jest publiczna, dane z wycieku dostępne dla każdego zainteresowanego (wystarczy korzystać z aplikacji Telegram), wyjaśnienia więc także powinny być publiczne.