Wyciek rządowych danych szerszy niż wiedzieliśmy. Jest kolejny kanał z polskimi dokumentami

Kanał z dokumentami rządowymi istnieje od 5 lutego 2021, podczas gdy kanał „mailowy” dopiero od 4 czerwca. W opublikowanych dokumentach nie ma nic, co by wskazywało, że pochodzą z prywatnego maila ministra czy jakiegokolwiek innej skrzynki mailowej, jest za to dezinformacyjny tekst, który łatwo można powiązać z hakerską operacją Ghostwriter – oraz ze źródłami w białoruskich kręgach rządowych.

Gdzie włamali się hakerzy

Po wstępnej analizie opublikowanego materiału najważniejsze jest pytanie: skąd rzeczywiście pochodzą te pliki i gdzie naprawdę włamali się hakerzy? Czy atak hakerski dotyczył tylko prywatnych skrzynek mailowych, czy również jakiegoś rządowego serwera?

Mamy już dwa kanały, które ujawniają niepubliczne rządowe materiały. Jeden, o którym wiemy od kilku dni, udostępnia zarówno dokumenty jak i screeny z komunikacji mailowej między ministrem Dworczykiem a premierem, ministrami, urzędnikami czy innymi współpracownikami rządu.

O istnieniu drugiego, wcześniejszego, jako pierwsza poinformowała wczoraj TVN24. Udało nam się do niego dotrzeć i sprawdzić, co rzeczywiście się na nim znajduje.

Współpraca z białoruską opozycją, ale nie tylko

Na istniejącym od 5 lutego kanale (celowo nie podajemy jego nazwy) jest kilkanaście dokumentów. Data publikacji ostatniego to 14 czerwca. Kanał jest oczywiście anonimowy, prowadzony w języku rosyjskim, niektóre dokumenty są szerzej omawiane na specjalnym, telegramowym blogu.

Ma mniej niż 300 obserwujących. Jest zupełnie inaczej prowadzony niż kanał hakera Dworczyka – nie znajdziemy tu niczego poza dokumentami, ich tłumaczeniem na rosyjski, ewentualnie objaśnieniem materiałów. Żadnych memów, sond internetowych, dyskusji, śledzenie reakcji na publikacje.

Nie bardzo też wiadomo, do kogo dotarły publikowane tu dokumenty – z danych podawanych przez Telegram wynika, że niektóre wpisy widziało zaledwie kilkaset osób, ale inne mają ok. 4 tysięcy, pojedyncze nawet ponad 5 tysięcy wyświetleń.

Najwięcej dokumentów dotyczy współpracy z białoruską opozycją. Żaden nie ma oznaczenia „tajne” czy „poufne”.

Niektóre robią wrażenie wstępnych notatek, inne to materiały przygotowane przez urzędników z Kancelarii Premiera, na przykład przez Departament Studiów Strategicznych.

Jest informacja o finansowaniu mediów polonijnych przez MSZ czy notatka z propozycją, jak przekazywać do mediów informację o tym, że rząd rozpoczyna „wdrażanie łączności utajonej” – paradoksalnie, to jeden z pierwszych opublikowanych na Telegramie dokumentów, wykradzionych z rządowych zasobów.

Można tu też znaleźć opracowanie dotyczące Narodowego Programu Szczepień.

Identyczne pliki o tematyce wojskowej

Są również materiały związane z działalnością Podkomisji Smoleńskiej oraz inne, o tematyce wojskowej. Te ostatnie już znamy – to pliki prezentujące projekt etapu kompanii zmechanizowanej, autorstwa płk. Krzysztofa Gaja, doradcy ministra Dworczyka, wcześniej związanego z Antonim Macierewiczem, który odszedł z wojska po swoich antysemickich i antyukraińskich wypowiedziach; oraz pliki, w metadanych których pojawia się – dowcipnie – James Bond jako autor.

Znamy je, ponieważ te same materiały publikował opisywany wcześniej kanał hakera maili ministra Dworczyka. Jak wskazują metadane, są to dokładnie te same pliki – haker musiał mieć więc dostęp do dokumentów publikowanych przez kanał pierwszy.

To, co koniecznie trzeba podkreślić – na całym kanale nie ma ani słowa o skrzynce mailowej ministra Dworczyka, ani o żadnych innych mailach. Nic nie wskazuje też na maile jako na źródło pochodzenia dokumentów.

Teoretycznie można uznać, że wszystkie materiały znajdowały się na prywatnym mailu szefa Kancelarii Premiera. Jednak kilka z nich było adresowanych nie do premiera, lecz do ministra obrony narodowej Mariusza Błaszczaka (choć premier jest wymieniany jako osoba, której przekazano dokumenty do wiadomości), zaś jeden z plików (dotyczących katastrofy smoleńskiej) powstał w 2018 roku.

Gdyby wszystkie te materiały miały pochodzić ze skrzynki ministra Dworczyka, trzeba by uznać, że praktycznie całą oficjalną korespondencję Kancelarii Premiera prowadził on przez swego maila na Wirtualnej Polsce. Wydaje się to mało prawdopodobne.

Notatka, która pasuje do operacji Ghostwriter

Jednym z najciekawszych dla śledztwa materiałów, opublikowanych na tymże kanale, jest dłuższa, blogowa notatka z 30 kwietnia. Jej autor dowodzi, że polscy politycy krytykują finansowanie białoruskiej opozycji przez polski rząd.

To klasyczna dezinformacja, do której wykorzystano dwa zhakowane konta w mediach społecznościowych – Agnieszki Kamińskiej, prezes Polskiego Radia, oraz pracownika biura poselskiego posła Artura Szałabawki z PiS.

Najpierw na koncie pracownika opublikowano spreparowany wpis o „pisowskim Mordorze na czele z Kaczyńskim” i dołączono do niego zdjęcia wydrukowanego dokumentu na temat planów powołania fundacji dyplomacji narodowej (nie wiadomo, czy zdjęcia też wykradziono, czy są fałszywe).

Potem ten sam wpis udostępniono na koncie prezes Agnieszki Kamińskiej, a następnie na tej podstawie sfabrykowano całą informację.

Tego rodzaju dezinformacja jest typowa dla operacji Ghostwriter, prowadzonej przez grupę hakerów UNC1151, opisanej przez amerykańską firmę Fire Eye, zajmującą się cyberbezpieczeństwem.

Hakerzy rozprowadzają złośliwe oprogramowanie, by zdobyć dane uwierzytelniające (np. loginy i hasła) użytkowników. Celują przy tym głównie w podmioty rządowe, wojskowe, dziennikarzy i aktywistów. Hakują strony internetowe, tworzą fałszywe witryny, włamują się na konta mailowe oraz konta w mediach społecznościowych. Wcześniej żaden ich atak nie dotknął premiera ani nie ujawnił wewnętrznej, rządowej korespondencji.

Dotychczas kompromitujące wpisy lub fałszywki pojawiły się na kontach: posłanki Joanny Borowiak (PiS), posła Marcina Duszka (PiS), Marleny Maląg (PiS), Iwony Michałek (Porozumienie), Marka Suskiego (PiS), Włodzimierza Bernackiego (PiS), Arkadiusza Czartoryskiego (PiS), byłego posła Andrzeja Melaka (PiS), byłego senatora Jarosława Chmielewskiego (PiS).

Zhakowano również stronę internetową marszałkini Sejmu Elżbiety Witek, a na Twitterze powstało fałszywe konto senatora PiS Marka Martynowskiego. O tych atakach wiedzieliśmy.

Jak widać, ich zakres był szerszy – tym razem użyto konta Agnieszki Kamińskiej i pracownika biura poselskiego.

Coraz bardziej zastanawiające jest, że hakerzy korzystają wyłącznie z kont społecznościowych polityków związanych z obozem rządzącym, ewentualnie związanych z nimi osób. Operacja na razie nie dotknęła nikogo z opozycji (a przynajmniej sytuacja taka nie jest publicznie znana).

Rozprowadzane w ramach operacji Ghostwriter treści mają na celu przede wszystkim dyskredytowanie NATO, ale ostatnio celem stało się także dyskredytowaniem polityków rządzących w wymienionych wcześniej państwach, stąd zapewne akcje kompromitujące polityków Zjednoczonej Prawicy w Polsce.

Charakterystyczne dla Ghostwritera jest wykorzystywanie różnych kanałów rozpowszechniania informacji, hakowanie nie tylko kont społecznościowych, ale i witryn, oraz szybkość przeprowadzania operacji publicznych. Analitycy, opisujący hakerów UNC1151, uważają ich za grupę współpracującą z podmiotami państwowymi, prawdopodobnie z Rosją.

Ostatni atak, który przypisano do operacji Ghostwriter, miał miejsce w kwietniu 2021 roku. Rozprowadzano wówczas dezinformację na temat fałszywej zbiórki pieniędzy na uroczystą inaugurację prezydentury Swietłany Cichanouskiej, liderki białoruskiej opozycji.

Źródło wśród białoruskich służb?

Notatka z blogu kanału Telegramu wpisuje się w tę narrację, uderzając zarówno w białoruską opozycję, jak i w polskie władze, udzielające jej wsparcia. Mimo wszystko, nie warto uznawać, że mamy twardy dowód na to, że kanał na Telegramie prowadzą hakerzy z Ghostwriter.

Otóż tego samego dnia, czyli 30 kwietnia, ta sama dezinformacja ukazała się także na blogu slivy.news, a potem na należącym do tego samego blogera kanale telegramowym „Жёлтые СЛИВЫ”.

[Slivy – od sliwat', w potocznym rosyjskim to określenie na ujawnianie niejawnych informacji].

Wpis na Telegramie jest co prawda o kilka godzin późniejszy niż ten na kanale publikującym dokumenty rządowe z Polski, jednak użyte grafiki (ze sfabrykowanymi wpisami) oraz główny przekaz obu materiałów są identyczne.

Niestety, tekstów nie da się porównać – wpis na blogu slivy.news zniknął. Został jedynie post na Telegramie, link do wpisu oraz grafiki, wciąż widoczne w sieciowych wyszukiwarkach.

Być może dokładniejszy monitoring internetu wykazałby, że ten sam materiał został opublikowanych na jeszcze innych stronach czy kanałach w mediach społecznościowych. Świadczyłoby to przede wszystkim raczej o zasilaniu wszystkich tych autorów przez to samo źródło, niż o tym, że dokumenty polskiego rządu publikowane są na Telegramie w ramach operacji Ghostwriter.

Ale to i tak bardzo ważna wskazówka – zwłaszcza że jeden z białoruskich opozycjonistów w grudniu 2020 roku ujawnił, kto ma stać za blogiem slivy.news. Prawdopodobnie jest to białoruski, prołukaszenkowski dziennikarz Aleksander Bieńko, zatrudniony w oficjalnej białoruskiej gazecie „Bialorus Siegodnia” i współpracujący przy wydawaniu gazety administracji prezydenta Łukaszenki. Jeśli to prawda, jego źródłami są zapewne osoby związane z białoruskimi władzami, a więc i z białoruskimi służbami.

Gdzie naprawdę dostali się hakerzy?

Reasumując: pierwszy kanał na Telegramie, który od lutego publikuje rządowe polskie dokumenty, prawdopodobnie ma kontakty z prołukaszenkowskimi źródłami na Białorusi, które korzystają z hakerskiej operacji Ghostwirter.

Jednocześnie nadal nie wiadomo jaki jest związek między tym kanałem a kanałem numer dwa, który od czerwca publikuje dane - jak twierdzi – ze skrzynki mailowej ministra Michała Dworczyka. Poza tym, że jego twórca kilkukrotnie skorzystał z dokumentów, opublikowanych na pierwszym kanale.

Oba te kanały łączy atakowanie polskiego rządu za pomocą wykradzionych dokumentów, ale poza tym bardzo się między sobą różnią.

Pierwszy jest prowadzony w języku rosyjskim i nie zawiera nic poza dokumentami i ich omówieniem.

Drugi, w języku polskim, to nie tylko miejsce publikacji danych z wycieku, ale też szeroka dyskusja wokół nich: komentowanie reakcji polityków na wyciek danych, memy, zdjęcia, filmiki. Trudno więc jednoznacznie uznać, że za dwoma źródłami stoją te same osoby czy że powstały one w ramach jednej operacji dezinformacyjnej.

Najważniejsze pytanie

Wydaje się, że najważniejsze pytania, jakie dziś powinniśmy kierować do polskiego rządu, brzmią: gdzie naprawdę włamali się hakerzy? Czy tylko na skrzynki mailowe? Jeśli tak, czy są to tylko prywatne skrzynki członków rządu (i których członków)? A może hakerzy dostali się na rządowy serwer? Jeśli tak, to który i co się na nim znajdowało?

Opublikowane dotychczas dokumenty wskazują, że albo ogromna część oficjalnej, rządowej korespondencji szła przez prywatne maile, albo włamanie jest dużo rozleglejsze niż dotychczas informowano.