Nieformalna grupa luźno powiązanych ze sobą hakerów - działających w darknecie - stoi za falą ataków spoofingowych na znane osoby. Jak dowiedział się reporter RMF FM, śledczy nie znaleźli dowodów na to, by grupa działała na zlecenie specsłużb zza naszej wschodniej granicy.

Do tej pory w tym dużym śledztwie zatrzymano jedną osobę. Zakończyło się postępowanie w jej sprawie, a Prokuratura Regionalna w Warszawie przygotowała akt oskarżenia.

Tajemnicze telefony

Na początku tego roku wielu polityków i funkcjonariuszy publicznych odbierało dziwne telefony i elektroniczne informacje. Ktoś podszywał się pod ich znajomych czy członków rodziny, informując między innymi o śmierci bliskich osób. Były tam też groźby śmierci, a także zawiadomienia o przestępstwach czy pożarach, które miały wywołać reakcję służb.

Poszkodowanymi w atakach byli m.in. Borys Budka z PO oraz jego żona, Władysław Kosiniak-Kamysz z PSL razem z żoną, rodzina Pawła Wojtunika - byłego szefa CBA, Jakub Banaś - syn prezesa NIK, komendanci policji, prokuratorzy, a także osoby związane ze środowiskiem żydowskim.

Śledztwo objęło w sumie kilkadziesiąt przypadków spoofingu dokonanych od grudnia 2021 do stycznia tego roku. 

W roli głównej programista z 20-letnim stażem

Jedyną zatrzymaną osobą w śledztwie trwającym od stycznia jest Krzysztof J., programista z 20-letnim stażem, w sieci występujący - według prokuratury - między innymi pod pseudonimem Diabolo de Vilious.

Jak dowiedział się reporter RMF FM, Diabolo de Vilious nie jest jednak bezpośrednim wykonawcą ataków.

Śledczym udało się jedynie zebrać dowody na to, że zamieścił w sieci TOR (wirtualna sieć komputerowa wykorzystująca trasowanie cebulowe - przyp. red.), na jednym z popularnych forów szczegółowe instrukcje dotyczące przeprowadzania spoofingowych ataków telefonicznych metodą "spoofing caller ID". W ten sposób miał pomagać innym osobom w przeprowadzaniu ataków.

Chodziło o podszywanie się pod numery telefonów osób trzecich i wykonywanie połączeń z zawiadomieniem o nieistniejących zdarzeniach zagrażających życiu i zdrowiu wielu osób.

Krzysztof J. miał też na forum zamieścić pliki dźwiękowe z dwóch przeprowadzonych ataków. Jeden z nich wymierzony był w lidera PO Borysa Budkę i jego żonę.

Prokuratura chce, by mężczyzna odpowiadał również za dwa fałszywe alarmy bombowe. Miał dzwonić do powiatowych komend policji w miejscowości Wschowa w woj. lubuskim oraz we Włodawie na Lubelszczyźnie. 

Miałby też odpowiadać za nielegalne ściągnięcie na służbowy komputer bazy danych składającej się z ponad 30 tysięcy "rekordów". Zawierały one między innymi hasła komputerowe i kody dostępu. Dane te miały pomagać w przeprowadzaniu ataków spoofingowych.

Krzysztof J. składa zeznania

Krzysztof J. podczas śledztwa zaprzeczał, że ma cokolwiek wspólnego z atakami. Przyznał, że używa przeglądarki TOR, jednak nie udziela się na żadnych forach, a o jednym z najpopularniejszych - na którym znaleziono jego wpisy - miał w ogóle nie słyszeć. Twierdził też, że nie wie, co to jest spoofing.

Prokuratura oceniła jego wyjaśnienia jako "pozostające w sprzeczności z zebranym materiałem dowodowym". Po poddaniu ekspertyzom jego sprzętu, okazało się, że posiada kilkadziesiąt haseł i loginów do różnych usług w sieci oraz w darknecie.

Krzysztof J. miał również zapewniające całkowitą anonimowość kryptowaluty Monero - ulubioną walutę darknetu i hakerów.

Zatrzymanie mężczyzny podejrzanego jedynie o pomoc w przeprowadzeniu kaskadowych ataków spoofingowych, to jedyny dotąd efekt śledztwa. Krzysztof J. - jak dowiedział się reporter RMF FM - spędził kilka miesięcy w areszcie. Prokuraturze do tej pory nie udało się natomiast wykryć bezpośrednich sprawców ataków.

Wiadomo natomiast, że to grupa osób skupiona między innymi na jednym z forów w darknecie.

Motywacja... narcystyczna

"Z naszych ustaleń wynika, że ich motywacje można określić, jako narcystyczną" - usłyszał od jednego ze śledczych reporter RMF FM.

Sprawcy wybierali do ataków znane osoby. Chodziło im o rozgłos medialny. Skuteczne przeprowadzenie takiego ataku sprawiało, że rosły ich notowania w sieci. Nie ma natomiast dowodów, że hakerzy działali na zlecenie kogoś z zagranicy.

"Nic na to nie wskazuje, choć trzeba pamiętać, że takie osoby mogą być wynajmowane za wynagrodzeniem, w celu na przykład zaszkodzenia komuś" - mówi RMF FM jeden z prokuratorów.

Pokrzywdzeni o "mizernych wynikach śledztwa"

Mizerne są wyniki tego wielkiego śledztwa - tak pokrzywdzeni serią ataków spoofingowych komentują zatrzymanie i zarzuty dla jednej osoby, która ma odpowiadać za pomoc w przeprowadzeniu ataków. Domagają się wykrycia bezpośrednich sprawców. Według nich to ci hakerzy powinni usiąść na ławie oskarżonych. Tak komentuje to jeden z liderów PO Borys Budka, którego żona odebrała telefon spod jego numeru i usłyszała: "Borys nie żyje".

Jeżeli ktoś do takich procederów wciąga nasze rodziny, to jest po prostu draniem. Bez względu na to, czy ma motywy polityczne, czy po prostu jest megalomanem, który chce zaistnieć, to tego typu czyny powinny być piętnowane, a sprawcy sprawiedliwie ukarani - uważa Budka.

Podobnie mówi były szef CBA Paweł Wojtunik, którego córka z jego numeru telefonu odebrała informację głosową o śmierci ojca.

Jest to ewidentna próba przykrycia porażki prokuratury - porażki, jaką jest niewykrycie do tej pory sprawców ataku na naszą rodzinę. Prokuratura w tej sprawie nie komunikuje się z nami. Jako pokrzywdzeni nie mieliśmy jakiejkolwiek wiedzy na temat tego, że prokuratura w ogóle kogokolwiek zatrzymała. To jest ewidentna porażka wymiaru sprawiedliwości. Pytanie czy świadczy o niekompetencji, czy o braku politycznej woli do wyjaśnienia do spodu tych spraw - mówił w rozmowie z Krzysztofem Zasadą Paweł Wojtunik.

Moim zdaniem to zatrzymanie płotki, które nie rozwiązuje absolutnie tej sprawy - i oczywiście próba zrobienia z tej płotki jednego ze sprawców - dodał. 

 Jak dodaje Wojtunik, śledczy dotąd złapali dopiero ślusarza, robiącego klucze dla złodziei, a złodzieje są na wolności.