13 maja 2020

Alarmy bombowe podczas strajku nauczycieli to robota rosyjskich służb. Pokazujemy, jak to zrobili

„Islamski terrorysta przygotował zasobnik z gazem bojowym fosgen. O godzinie 9 nastąpi wybuch. Uciekajcie wszyscy zgina" - tak brzmiał (pisownia oryginalna) jeden z maili, rozsyłanych do szkół w czasie matur w 2019 roku. Dziś już wiadomo, że za akcją stały rosyjskie służby specjalne

Inspiratorami maili były osoby zalogowane na kontach wykorzystywanych przez GRU – rosyjski wywiad wojskowy. Portal, na którym rozpoczęła się akcja, zawierał wiele przestępczych i nielegalnych treści. Namawiano tam m.in. do naśladowania w Polsce protestów Żółtych Kamizelek, planowano polityczny pucz. Dziś strona ta już nie istnieje.

W poniedziałek 11 maja radio RMF FM podało informację o nieoficjalnych jeszcze ustaleniach polskich śledczych, pracujących nad wyjaśnieniem internetowego ataku na szkoły z maja 2019 roku.

Serwery w Petersburgu

Maile z ostrzeżeniami o podłożeniu bomb dotarły wówczas do prawie 700 placówek w Polsce. Jak wynika z informacji RMF FM, śledczy przebadali połączenia internetowe oraz treść maili i okazało się, że

źródłem były serwery zlokalizowane w Sankt Petersburgu.

Ponieważ były one w przeszłości wykorzystywane do rozsyłania innych treści w różnych państwach, udało się zidentyfikować aktywne konta jako użytkowane przez rosyjski wywiad wojskowy GRU.

Przy czym to nie GRU bezpośrednio wysyłało maile, lecz moderatorzy działający na konkretnym portalu internetowym namawiali internautów do takiego działania.

Resztę zrobili sami użytkownicy portalu, którzy zapewne nie mieli pojęcia o tym, że właśnie realizują rosyjską operację.

Przypomnijmy, że działo się to w czasie strajku nauczycieli, a więc w okresie chaosu i swego rodzaju destabilizacji sytuacji w państwie. Analizowałam wówczas sieć pod kątem wpływów zewnętrznych, zidentyfikowałam kilka kont, bardzo aktywnych w temacie strajku, których wcześniejsze działania wskazywały na powiązania z propagandą prorosyjską - prawdopodobnie były to tzw. rosyjskie trolle.

W trakcie monitoringu internetu dla londyńskiego think-tanku Institute for Strategic Dialogue przyjrzałam się także portalowi, na którym zaczęła się akcja rozsyłania maili o fałszywych atakach bombowych. Dziś, znając wyniki śledztwa, pokazujemy, co jeszcze działo się na nieistniejącym już portalu L.

Chan z darknetu

Portal był jednym z wielu istniejących w darknecie (części internetu, która nie jest ogólnie dostępna) chanów, czyli anonimowych forów, na których można znaleźć dyskusje o wszystkim co nielegalne, związane z przestępczością lub niezgodne z regulaminami ogólnie dostępnych mediów społecznościowych.

Ze względu na treści kluczowa jest na nich anonimowość - użytkownicy logują się tam, korzystając z sieci TOR, która uniemożliwia namierzenie osoby logującej się. Chany często znikają, na ich miejsce pojawiają się kolejne, a użytkownicy podają sobie informacje, która strona jest kontynuacją tej, którą zlikwidowano.

L. miał swoją część widoczną w sieci publicznej (oczywiście użytkownicy byli anonimowi) i to właśnie ten fragment udało mi się przeanalizować.

To chan rosyjski, pierwotnie działający jako część chanu powstałego w Brazylii. Po jego likwidacji L. zaistniał jako samodzielna strona.

Poza Rosją najbardziej popularny był we Włoszech, Austrii i Niderlandach oraz w Polsce.

Język rosyjski nie był tu bardzo popularny, ale analiza połączeń z L. wskazywała, że najczęściej wchodzili tam użytkownicy trzech rosyjskich stron: rosyjskiego medium społecznościowego vk.com (V Kontakte), portalu yandex.ru oraz anonimowego rosyjskiego forum.

Poza nimi linki do L. krążyły także na innych popularnych chanach.

W polskojęzycznej części L. przynajmniej raz pojawiła się informacja od jednego z użytkowników, że L. jest kontrolowane przez rosyjskie służby, ale nie wzbudziła ona dużego zainteresowania.

Tak jak na wszystkich tego rodzaju forach, było tam bardzo dużo treści pedofilskich. Wymieniano się też licznymi instrukcjami na temat działań nielegalnych, np. jak prowadzić stalking w sieci, by nie zostać złapanym, gdzie kupić broń, jak przygotować sfałszowane dokumenty, niezbędne do weryfikacji konta na Facebooku.

Pojawiały się także oferty sprzedaży baz danych osobowych. Choć brzmi to strasznie, takie są właśnie typowe tematy rozmów w darknecie.

„Przewodnik dla bojowników”

W dyskusji na temat rozsyłania maili o alarmach bombowych do szkół zamieszczono także dość szczegółowe instrukcje:

  • jak wysłać maile korzystając z sieci TOR (by później policja nie mogła namierzyć autorów);
  • jak stworzyć nowe, anonimowe konto; podawano linki do plików, zawierających adresy internetowe szkół w Polsce.

Wszystko to pod nazwą „Przewodnik dla bojowników”. „Proponuję zrobić te alarmy bombowe i zobaczymy, czy polska policja umie złamać Tora” - pisał jeden z dyskutujących. Trudno powiedzieć, które wpisy pochodziły od moderatorów z rosyjskich służb, a które od polskich użytkowników sieci.

Już w trakcie „akcji” pisano na chanie, że wobec jednego z inspiratorów rozsyłania maili, Polaka, trwa śledztwo prokuratorskie. Miał on namawiać w sieci do zamordowania 12 osób, podając ich nazwiska.

Najczęściej wskazywał na osoby prywatne, wobec których od dawna w sieci prowadzony był stalking. Mimo śledztwa wciąż miał dostęp do sieci, zamieszczał na chanie swoje oświadczenia, a nawet publikował kolejne nazwiska.

Wiele wpisów dotyczyło działań hackerów. Jeden z nich pokazywał na przykład w jaki sposób udało mu się włamać do newslettera dużej firmy, i za jego pomocą rozsyłać zaproszenie na L. Wiadomość do pracowników firmy zatytułował: „Zapraszamy na polskie forum hakerskie, wywrotowe, wyjęte spod prawa”.

W dyskusje, które dotyczyły nielegalnej działalności, część użytkowników chanu włączała się wyłącznie „dla beki”, czyli dla żartu. Wśród nich pojawiały się jednak także zupełnie poważne rozważania np. o tym, w jaki sposób zorganizować atak terrorystyczny, by zginęło w nim jak najwięcej osób. Jak przeprowadzić w Polsce pucz i ile osób jest do tego potrzebnych. Skąd wziąć broń i gdzie kupić fałszywe paszporty.

Zamieszczono tam również link do materiałów szkoleniowych polskiej policji na temat wykrywania cyberprzestępczości. Rozpatrywano też pomysł, by podszyć się pod rekruterów, rekrutujących chętnych do pracy w tzw. cyberwojskach, wyłudzając w ten sposób dane osobowe.

„Trzeba Polaczki nauczyć protestować na poważnie”

Pojawiła się także dyskusja o trwających wtedy we Francji protestach Żółtych Kamizelek. Podkreślano w niej, że Francuzi potrafią protestować, a „Polaczki” nie.

„Trzeba ich nauczyć protestować na poważnie” - apelował jeden z użytkowników. Z innych wypowiedzi widać, że wyraźnie starano się poruszyć „męską dumę” w odbiorcach, by zmobilizować ich do działania.

Zwracało uwagę użycia słowa „Polaczki”, negatywnego określenia, używanego wobec Polaków głównie na Wschodzie, nigdy w Polsce. Na szczęście ten temat nie cieszył się popularnością i motywowanie porównaniami do Francuzów nie przynosiło na chanie widocznych efektów.

Chan L. obecnie nie istnieje. Ale na pewno istnieją inne. Darknet to przestrzeń zupełnie niekontrolowana, wykorzystywana do realizowania nielegalnych akcji oraz prowokowania, by takie akcje podejmować.

Jak ustalili śledczy, rok temu w czasie matur prowokatorami były rosyjskie służby specjalne. Celem takiego działania było, jak zawsze, destabilizowanie sytuacji w państwie. Im państwo mniej stabilne, tym słabsze i łatwiej na nie wpływać.

Ile jeszcze tego rodzaju akcji działo się i dzieje w Polsce, nie wiemy. Zazwyczaj są one na tyle ukryte, że trudno o ustalenie, kto był ich inspiratorem. Tym razem polskim śledczym udało się to ustalić. O większości takich działań zapewne jednak nigdy się nie dowiemy.

Udostępnij:

Anna Mierzyńska

Analityczka mediów społecznościowych, specjalizuje się w analizie dezinformacji. Z OKO.press współpracuje od 2017 roku. Autorka książki "Efekt niszczący. Jak dezinformacja wpływa na nasze życie".

Komentarze

Komentarze będą wkrótce dostępne