Zespół hakerów powiązany z cyberoperacją Ghostwriter, w ramach której m.in. publikowane są maile polskich polityków, ma powiązania z białoruskim reżimem - oceniła amerykańska firma zajmująca się cyberbezpieczeństwem Mandiant. Nie wyklucza ona także udziału hakerów rosyjskich.

REKLAMA

"Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki" - napisano w komunikacie firmy. Eksperci ocenili również, że sama kampania informacyjno-szpiegowska Ghostwriter jest dziełem co najmniej częściowo białoruskiego reżimu.

Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. W tym czasie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu.
napisano.

Mandiant był pierwszym ośrodkiem, który zidentyfikował trwającą co najmniej od 2016 r. cyberoperację, która pierwotnie była powszechnie uznawana za dzieło rosyjskich służb. Na udział Rosji wskazywał też we wrześniowym oświadczeniu szef unijnej dyplomacji Josep Borrell.

Pierwsze działania skierowane przeciwko obecności żołnierzy NATO w krajach wschodniej flanki

Według Mandianta, zarówno techniczne dane, jak i cele działań UNC1151 silnie wskazują na udział Mińska. Firma notuje, że operacja - pierwotnie skierowana przeciwko obecności żołnierzy NATO w krajach wschodniej flanki - zmieniła swój charakter, obierając za cel głównie władze i społeczeństwa sąsiadów Białorusi, a także - w okresie wokół zeszłorocznych wyborów prezydenckich na Białorusi - w białoruską opozycję.

"Operacje w ramach Ghostwriter promowały narracje skupiające się na oskarżeniach o korupcję lub skandalach wewnątrz partii rządzących na Litwie i w Polsce, próbach wywołania napięć w relacjach polsko-litewskich i dyskredytowania białoruskiej opozycji".

Część działań hakerów dotyczyła również kontrowersji związanych z budowaną przez Białoruś elektrownią atomową w Ostrowcu przy granicy z Litwą, zaś w ostatnim czasie - m.in. rozsiewania fałszywych informacji na temat przestępstw dokonywanych przez migrantów. Informacje rozprzestrzeniane w ramach operacji były potem wykorzystywane przez białoruską telewizję państwową.

Początki działalności sięgają 2016 roku

Według firmy początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 r., a cyberszpiegowskiej - 2017.

Kampania zyskała swoją nazwę z racji początkowych taktyk hakerów, którzy włamywali się do systemów lokalnych portali i umieszczali w nich fałszywe informacje wymierzone głównie w obecność wojsk NATO.

Od tego czasu operacja rozszerzyła swój zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była trwająca do dziś publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.

Afera mailowa z udziałem Michała Dworczyka

Na początku czerwca pojawiły się informacje, że hakerzy włamali się na prywatną skrzynkę mailową szefa Kancelarii Prezesa Rady Ministrów. Od 4 czerwca na kanale w aplikacji Telegram zaczęły pojawiać się maile rzekomo pochodzące z jego skrzynki.

Michał Dworczyk w oświadczeniu na Twitterze podał wtedy, że za pośrednictwem rosyjskiej platformy Telegram do opinii publicznej w Polsce przekazywane są wiadomości i informacje, których część została wykradziona w wyniku ataku hakerskiego przeprowadzonego na skrzynki e-mail i konta w mediach społecznościowych należących do niego i jego rodziny.

Do tej pory na kanale w Telegramie pojawiły się m.in. analizy rozwiązań, które pozwalałyby Białorusinom osiedlać się w Polsce, korespondencja z płk. Krzysztofem Gajem oraz zdjęcie dowodu osobistego i prawa jazdy Dworczyka. Były także zrzuty z rozmów sugerujące, że rząd rozważał wykorzystanie wojska do zabezpieczenia Strajku Kobiet. Członkowie rządu oraz doradcy rozmawiali o obostrzeniach koronawirusowych.

W następstwie ataków w Sejmie odbyło się niejawne posiedzenie.

Rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn w oświadczeniu przekazał, że ABW i SKW ustaliły, że na liście celów ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli, w tym 100 należących do polityków, a służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych.

Na konferencji prasowej 12 lipca Michał Dworczyk przyznał, że był gotów podać się do dymisji w związku z aferą, jednak nie zgodził się na to szef rządu.