Kanał z dokumentami rządowymi istnieje od 5 lutego 2021, podczas gdy kanał „mailowy” dopiero od 4 czerwca. W opublikowanych dokumentach nie ma nic, co by wskazywało, że pochodzą z prywatnego maila ministra czy jakiegokolwiek innej skrzynki mailowej, jest za to dezinformacyjny tekst, który łatwo można powiązać z hakerską operacją Ghostwriter – oraz ze źródłami w białoruskich kręgach rządowych.
Gdzie włamali się hakerzy
Po wstępnej analizie opublikowanego materiału najważniejsze jest pytanie: skąd rzeczywiście pochodzą te pliki i gdzie naprawdę włamali się hakerzy? Czy atak hakerski dotyczył tylko prywatnych skrzynek mailowych, czy również jakiegoś rządowego serwera?
Mamy już dwa kanały, które ujawniają niepubliczne rządowe materiały. Jeden, o którym wiemy od kilku dni, udostępnia zarówno dokumenty jak i screeny z komunikacji mailowej między ministrem Dworczykiem a premierem, ministrami, urzędnikami czy innymi współpracownikami rządu.
O istnieniu drugiego, wcześniejszego, jako pierwsza poinformowała wczoraj TVN24. Udało nam się do niego dotrzeć i sprawdzić, co rzeczywiście się na nim znajduje.
Współpraca z białoruską opozycją, ale nie tylko
Na istniejącym od 5 lutego kanale (celowo nie podajemy jego nazwy) jest kilkanaście dokumentów. Data publikacji ostatniego to 14 czerwca. Kanał jest oczywiście anonimowy, prowadzony w języku rosyjskim, niektóre dokumenty są szerzej omawiane na specjalnym, telegramowym blogu.
Ma mniej niż 300 obserwujących. Jest zupełnie inaczej prowadzony niż kanał hakera Dworczyka – nie znajdziemy tu niczego poza dokumentami, ich tłumaczeniem na rosyjski, ewentualnie objaśnieniem materiałów. Żadnych memów, sond internetowych, dyskusji, śledzenie reakcji na publikacje.
Nie bardzo też wiadomo, do kogo dotarły publikowane tu dokumenty – z danych podawanych przez Telegram wynika, że niektóre wpisy widziało zaledwie kilkaset osób, ale inne mają ok. 4 tysięcy, pojedyncze nawet ponad 5 tysięcy wyświetleń.
Wstępny monitoring internetu wskazuje, że linki do konta publikowano na popularnych na Białorusi i w Rosji portalach blogowych oraz na platformie społecznościowej VKontakte.
Najwięcej dokumentów dotyczy współpracy z białoruską opozycją. Żaden nie ma oznaczenia „tajne” czy „poufne”.
Niektóre robią wrażenie wstępnych notatek, inne to materiały przygotowane przez urzędników z Kancelarii Premiera, na przykład przez Departament Studiów Strategicznych.
Jest informacja o finansowaniu mediów polonijnych przez MSZ czy notatka z propozycją, jak przekazywać do mediów informację o tym, że rząd rozpoczyna „wdrażanie łączności utajonej” – paradoksalnie, to jeden z pierwszych opublikowanych na Telegramie dokumentów, wykradzionych z rządowych zasobów.
Można tu też znaleźć opracowanie dotyczące Narodowego Programu Szczepień.
Identyczne pliki o tematyce wojskowej
Są również materiały związane z działalnością Podkomisji Smoleńskiej oraz inne, o tematyce wojskowej. Te ostatnie już znamy – to pliki prezentujące projekt etapu kompanii zmechanizowanej, autorstwa płk. Krzysztofa Gaja, doradcy ministra Dworczyka, wcześniej związanego z Antonim Macierewiczem, który odszedł z wojska po swoich antysemickich i antyukraińskich wypowiedziach; oraz pliki, w metadanych których pojawia się – dowcipnie – James Bond jako autor.
Znamy je, ponieważ te same materiały publikował opisywany wcześniej kanał hakera maili ministra Dworczyka. Jak wskazują metadane, są to dokładnie te same pliki – haker musiał mieć więc dostęp do dokumentów publikowanych przez kanał pierwszy.
Albo po prostu pobrał je z tego kanału, albo obaj hakerzy ze sobą współpracują.
To, co koniecznie trzeba podkreślić – na całym kanale nie ma ani słowa o skrzynce mailowej ministra Dworczyka, ani o żadnych innych mailach. Nic nie wskazuje też na maile jako na źródło pochodzenia dokumentów.
Teoretycznie można uznać, że wszystkie materiały znajdowały się na prywatnym mailu szefa Kancelarii Premiera. Jednak kilka z nich było adresowanych nie do premiera, lecz do ministra obrony narodowej Mariusza Błaszczaka (choć premier jest wymieniany jako osoba, której przekazano dokumenty do wiadomości), zaś jeden z plików (dotyczących katastrofy smoleńskiej) powstał w 2018 roku.
Gdyby wszystkie te materiały miały pochodzić ze skrzynki ministra Dworczyka, trzeba by uznać, że praktycznie całą oficjalną korespondencję Kancelarii Premiera prowadził on przez swego maila na Wirtualnej Polsce. Wydaje się to mało prawdopodobne.
A więc gdzie włamali się hakerzy, publikujący na pierwszym chronologicznie kanale na Telegramie?
Notatka, która pasuje do operacji Ghostwriter
Jednym z najciekawszych dla śledztwa materiałów, opublikowanych na tymże kanale, jest dłuższa, blogowa notatka z 30 kwietnia. Jej autor dowodzi, że polscy politycy krytykują finansowanie białoruskiej opozycji przez polski rząd.
To klasyczna dezinformacja, do której wykorzystano dwa zhakowane konta w mediach społecznościowych – Agnieszki Kamińskiej, prezes Polskiego Radia, oraz pracownika biura poselskiego posła Artura Szałabawki z PiS.
Najpierw na koncie pracownika opublikowano spreparowany wpis o „pisowskim Mordorze na czele z Kaczyńskim” i dołączono do niego zdjęcia wydrukowanego dokumentu na temat planów powołania fundacji dyplomacji narodowej (nie wiadomo, czy zdjęcia też wykradziono, czy są fałszywe).
Potem ten sam wpis udostępniono na koncie prezes Agnieszki Kamińskiej, a następnie na tej podstawie sfabrykowano całą informację.
Tego rodzaju dezinformacja jest typowa dla operacji Ghostwriter, prowadzonej przez grupę hakerów UNC1151, opisanej przez amerykańską firmę Fire Eye, zajmującą się cyberbezpieczeństwem.
Hakerzy rozprowadzają złośliwe oprogramowanie, by zdobyć dane uwierzytelniające (np. loginy i hasła) użytkowników. Celują przy tym głównie w podmioty rządowe, wojskowe, dziennikarzy i aktywistów. Hakują strony internetowe, tworzą fałszywe witryny, włamują się na konta mailowe oraz konta w mediach społecznościowych. Wcześniej żaden ich atak nie dotknął premiera ani nie ujawnił wewnętrznej, rządowej korespondencji.
Dotychczas kompromitujące wpisy lub fałszywki pojawiły się na kontach: posłanki Joanny Borowiak (PiS), posła Marcina Duszka (PiS), Marleny Maląg (PiS), Iwony Michałek (Porozumienie), Marka Suskiego (PiS), Włodzimierza Bernackiego (PiS), Arkadiusza Czartoryskiego (PiS), byłego posła Andrzeja Melaka (PiS), byłego senatora Jarosława Chmielewskiego (PiS).
Zhakowano również stronę internetową marszałkini Sejmu Elżbiety Witek, a na Twitterze powstało fałszywe konto senatora PiS Marka Martynowskiego. O tych atakach wiedzieliśmy.
Jak widać, ich zakres był szerszy – tym razem użyto konta Agnieszki Kamińskiej i pracownika biura poselskiego.
Coraz bardziej zastanawiające jest, że hakerzy korzystają wyłącznie z kont społecznościowych polityków związanych z obozem rządzącym, ewentualnie związanych z nimi osób. Operacja na razie nie dotknęła nikogo z opozycji (a przynajmniej sytuacja taka nie jest publicznie znana).
Rozprowadzane w ramach operacji Ghostwriter treści mają na celu przede wszystkim dyskredytowanie NATO, ale ostatnio celem stało się także dyskredytowaniem polityków rządzących w wymienionych wcześniej państwach, stąd zapewne akcje kompromitujące polityków Zjednoczonej Prawicy w Polsce.
Charakterystyczne dla Ghostwritera jest wykorzystywanie różnych kanałów rozpowszechniania informacji, hakowanie nie tylko kont społecznościowych, ale i witryn, oraz szybkość przeprowadzania operacji publicznych. Analitycy, opisujący hakerów UNC1151, uważają ich za grupę współpracującą z podmiotami państwowymi, prawdopodobnie z Rosją.
Ostatni atak, który przypisano do operacji Ghostwriter, miał miejsce w kwietniu 2021 roku. Rozprowadzano wówczas dezinformację na temat fałszywej zbiórki pieniędzy na uroczystą inaugurację prezydentury Swietłany Cichanouskiej, liderki białoruskiej opozycji.
Źródło wśród białoruskich służb?
Notatka z blogu kanału Telegramu wpisuje się w tę narrację, uderzając zarówno w białoruską opozycję, jak i w polskie władze, udzielające jej wsparcia. Mimo wszystko, nie warto uznawać, że mamy twardy dowód na to, że kanał na Telegramie prowadzą hakerzy z Ghostwriter.
Otóż tego samego dnia, czyli 30 kwietnia, ta sama dezinformacja ukazała się także na blogu slivy.news, a potem na należącym do tego samego blogera kanale telegramowym „Жёлтые СЛИВЫ”.
[Slivy – od sliwat', w potocznym rosyjskim to określenie na ujawnianie niejawnych informacji].
Wpis na Telegramie jest co prawda o kilka godzin późniejszy niż ten na kanale publikującym dokumenty rządowe z Polski, jednak użyte grafiki (ze sfabrykowanymi wpisami) oraz główny przekaz obu materiałów są identyczne.
Niestety, tekstów nie da się porównać – wpis na blogu slivy.news zniknął. Został jedynie post na Telegramie, link do wpisu oraz grafiki, wciąż widoczne w sieciowych wyszukiwarkach.
Być może dokładniejszy monitoring internetu wykazałby, że ten sam materiał został opublikowanych na jeszcze innych stronach czy kanałach w mediach społecznościowych. Świadczyłoby to przede wszystkim raczej o zasilaniu wszystkich tych autorów przez to samo źródło, niż o tym, że dokumenty polskiego rządu publikowane są na Telegramie w ramach operacji Ghostwriter.
Ale to i tak bardzo ważna wskazówka – zwłaszcza że jeden z białoruskich opozycjonistów w grudniu 2020 roku ujawnił, kto ma stać za blogiem slivy.news. Prawdopodobnie jest to białoruski, prołukaszenkowski dziennikarz Aleksander Bieńko, zatrudniony w oficjalnej białoruskiej gazecie „Bialorus Siegodnia” i współpracujący przy wydawaniu gazety administracji prezydenta Łukaszenki. Jeśli to prawda, jego źródłami są zapewne osoby związane z białoruskimi władzami, a więc i z białoruskimi służbami.
Gdzie naprawdę dostali się hakerzy?
Reasumując: pierwszy kanał na Telegramie, który od lutego publikuje rządowe polskie dokumenty, prawdopodobnie ma kontakty z prołukaszenkowskimi źródłami na Białorusi, które korzystają z hakerskiej operacji Ghostwirter.
Jednocześnie nadal nie wiadomo jaki jest związek między tym kanałem a kanałem numer dwa, który od czerwca publikuje dane – jak twierdzi – ze skrzynki mailowej ministra Michała Dworczyka. Poza tym, że jego twórca kilkukrotnie skorzystał z dokumentów, opublikowanych na pierwszym kanale.
Oba te kanały łączy atakowanie polskiego rządu za pomocą wykradzionych dokumentów, ale poza tym bardzo się między sobą różnią.
Pierwszy jest prowadzony w języku rosyjskim i nie zawiera nic poza dokumentami i ich omówieniem.
Drugi, w języku polskim, to nie tylko miejsce publikacji danych z wycieku, ale też szeroka dyskusja wokół nich: komentowanie reakcji polityków na wyciek danych, memy, zdjęcia, filmiki. Trudno więc jednoznacznie uznać, że za dwoma źródłami stoją te same osoby czy że powstały one w ramach jednej operacji dezinformacyjnej.
Najważniejsze pytanie
Wydaje się, że najważniejsze pytania, jakie dziś powinniśmy kierować do polskiego rządu, brzmią: gdzie naprawdę włamali się hakerzy? Czy tylko na skrzynki mailowe? Jeśli tak, czy są to tylko prywatne skrzynki członków rządu (i których członków)? A może hakerzy dostali się na rządowy serwer? Jeśli tak, to który i co się na nim znajdowało?
Opublikowane dotychczas dokumenty wskazują, że albo ogromna część oficjalnej, rządowej korespondencji szła przez prywatne maile, albo włamanie jest dużo rozleglejsze niż dotychczas informowano.
G…chłopu, nie zegarek. Dedykuję politykom i służbom. Dziekuję hakerom.
A czasem nie jest o podpucha PisZPR? Kotofil produkował się, że to Rosjanie nas atakują a wiaomodo od dawna, że jak ktoś coś ukradnie to krzyczy łapać złodzieja.
Ciekawe co na to Balbina? – Pewnie nic. Dla niego net to pornole, jak kiedyś wypskło się z tej szlachetnej buzi. Poza tym ma ważniejsze sorawy: jak.tu.gowina. załatwić.
Jest oczywiste, że reżim PiS jest głęboko infiltrowany przez Rosjan.
Wskazuje na to zarówno codzienna polityka – korzystna dla Rosjan, a jedynie w gębie sroga.
Trzeba też pamiętać, że PiS doszedł do władzy dzięki rosyjskiej prowokacji z podsłuchami restauracyjnymi.
Ale także ogólne warunki – prawie całe kadry PiS to nieudacznicy, złodzieje, karierowicze i ludzie zakłamani i religijni – tacy ludzie mają zwykle mnóstwo trupów w szafie i łatwo ich szantażować.
Blog o Dworczyku nie wydaje się pochodzić z Rosji, bo tej nie opłaca się zmiana rządu w Polsce na normalny i kompetentny (tak jak nie opłacała się zmian Trumpa na Bidena).
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
Totoro Satsuki "Rosja, w której od dawna zabrakło już szampana, miałaby zohydzać, ośmieszać, osłabiać i w rezultacie dążyć do obalenia władzy PiS"
Po co ten sarkazm? Zapewne Pani Anna ma rację. Dlaczego Rosja nie miałaby popierać polskiej opozycji?
Komentarz został usunięty ponieważ nie spełniał standardów społeczności.
A niby dlaczego Rosja miałaby sprzyjać polskiej opozycji?
Mogą infiltrować Lewicę i Hołownię, bo oni grają na siebie i ich wali, czy Polska zostanie w strukturach UE. PO i PSL mają interesy ulokowane i zależne od obecności Polski w UE. PiS i konfa realizują agendę Kremla.
Dla mnie te "hakerskie ataki" to jedynie zasłona dymna, przed niewygodnymi pytaniami, skąd Rosja i Białoruś ma dane np. na temat Białorusinów w Polsce. Głupio jeszcze byłoby się przyznać, że od naszych łaskawie nam panujących. Teraz można zwalić, że hakerzy wykradli.
Również zasłoną dymną, jest tworzenie złudzenia jakoby to Rosja atakowała Polskę. Nie musi. Polska nie uczestniczy w żadnej cyber wojnie, po prostu realizuje cele Rosji z wielkim entuzjazmem. Jakoś trzeba elektorat PiS mamić, bo to dość antyrosyjski elektorat w założeniu, bo w praktyce to skrojony pod oczekiwania Rosji.
Jan Kowalski "A niby dlaczego Rosja miałaby sprzyjać polskiej opozycji?"
Może postrzega opozycję jako mniej antyrosyjską?
Nikt nie jest bardziej prorosyjski niż PIS i Konfederacja dlatego nielogicznym jest przypisywanie tych ataków Rosji
Jan Kowalski "Nikt nie jest bardziej prorosyjski niż PIS i Konfederacja"
Twierdzi Pan, że opozycja jest najbardziej antyrosyjska?
Czy Rosjanie tak to widzą?
Powierzchowna antyrosyjskość PiSu, jest Rosji bardzo na rękę. Mało tego jest zainicjowana przez Kreml. Dzięki temu Polskę można wciąż ukazywać jako kraj antyrosyjskich idiotów, których należy wziąć pod Rosyjski but i ich nie żałować.
Jan Kowalsk "Powierzchowna antyrosyjskość PiSu, jest Rosji bardzo na rękę. Mało tego jest zainicjowana przez Kreml. "
Wpada Pan w paranoję. PiS jest antyrosyjski, czego dowodzi jego polityka zagraniczna.
Stosunki z Rosją sie pogorszyły od czasu gdy PO straciła władzę.
Nie wpadam w paranoję. Opieram się na śledztwach dziennikarskich. Polecam "Katastrofa posmoleńska: kto rozbił Polskę" Grzegorza Rzeczkowskiego, albo publikacje jak i śledztwa Tomasza Piątka.
PiS nie jest zwyczajną, polską partią polityczną. Jest organizacją realizującą politykę Kremla. Nie ma kompletnego znaczenia, co PiSowcy czy jacykolwiek inni politycy mówią. Ważne co realizują.
Jan Kowalski "Opieram się na śledztwach dziennikarskich."
Dziennikarstwo śledcze to oksymoron. Poza rzadkimi, szlachetnymi wyjatkami.
Z takimi opiniami nie zamierzam dyskutować, bo po co.
Wiara w antyrosyjskość PiSu to też nie mój problem.
Wyraźnie zaczyna się mówić, że bulwersujący wyciek jest robotą pracownika z otoczenia Dworczyka. Pobudki nie nie są i nie będą znane. Prawdopodobnie kaczor o tym wiedział dość wcześnie. Zapewne zdaje sobie sprawę, że to kompromitacja służb. Zwłaszcza "niezawodnego" w brudnej robocie Kamińskiego. Wymyślił wiec źródło – Rosjanie. Dla wielu entuzjastów PiS bardzo prawdopodobne. Na największego idiotę wychodzi Morawiecki, bezmyślnie powielający brednie kaczora, tworzący atmosferę tajnego/poufne i łapiącego pretekst do dalszego ograniczania wolności słowa.
Jest oczywistym, że Rosjanie usilnie inwigilują Polskę. Ale to zupełnie inna bajka.