Cyberataki Kremla w Polsce i na Ukrainie

Współczesne wydarzenia społeczne i polityczne od dawna zamieniają się w scenariusze szpiegowsko-detektywistycznych opowieści występujących w Hollywood lub na platformie Netflix.

Pewnego dnia anonimowy kanał Telegram wdziera się do przestrzeni informacyjnej pewnego kraju, publikując dane uzyskane ze zhakowanej skrzynki poczty elektronicznej należącej do wysokiego rangą urzędnika, który nie tylko wykonuje swoje obowiązki publiczne, ale ma także znaczenie polityczne w kontekście nadchodzących wyborów.

W związku z tym on sam uosabia wrażliwe miejsce w obszarze społecznej i politycznej stabilności państwa i ma ogromne znaczenie dla normalnego przebiegu demokratycznych procedur. Między innymi, z działań tego urzędnika nie jest zadowolony Kreml, ponieważ działa on wbrew jego interesom.

Z anonimowego kanału Telegram informacje są ponownie publikowane najpierw na marginalnych platformach medialnych. Następnie, również znani dziennikarze zwracają uwagę na te informacje. Dyskusja o skandalu przenosi się na ekrany czołowych kanałów telewizyjnych. Teraz cały kraj dyskutuje już nie o zasadach i priorytetach rozwoju demokratycznego i gospodarczego, a jedynie o dowodach skandalu i próbach wyjaśnień i zaprzeczeń podejmowanych przez oficjalne władze.

Scenariusz znany polskim obywatelom, prawda?

9 czerwca 2021 r. na anonimowym kanale Telegram opublikowano dane ze zhakowanej skrzynki szefa kancelarii premiera Michała Dworczyka i jego żony. Według Dworczyka, włamywacze przeniknęli również do jego kont w mediach społecznościowych.

Niestety, premiera tego „serialu” nie odbyła się w Polsce. I na długo przed 2021 rokiem. W marcu 2019 r., krótko przed wyborami prezydenckimi na Ukrainie, w komunikatorze Telegram pojawił się anonimowy kanał, który publikował linki i informacje ze strony internetowej zawierającej informacje ze zhakowanych skrzynek e-mailowych ukraińskich urzędników, politologów i doradców politycznych, którzy byli w otoczeniu ówczesnego prezydenta Petra Poroszenki.

W tym kanale zostały opublikowane teksty, zrzuty ekranu i linki do zarchiwizowanych plików oraz listy mailingowe. Wśród opublikowanych materiałow były zarówno teksty samych e-maili, jak i inne pliki tekstowe i graficzne, które zostały dołączone do wiadomości e-mail jako załączniki.

Wśród plików dostępnych do pobrania ze strony odkryłem również format pliku Microsoft Word o nazwie (po rosyjsku!!!) „Общее описание всех документов, со ссылками на них + пометки”, czyli w tłumaczeniu: „Ogólny opis wszystkich dokumentów z linkami do nich + notatki”). Dokument ten powstał pięć miesięcy wcześniej zanim pojawił się w sieci kanał Telegramu promujący informacje uzyskane z hakerskiego włamania i publikujący wykradzione dane. Oto ten plik:

Dokument zawierał także propozycje, jak najlepiej przedstawić publiczności wyniki włamania do skrzynek pocztowych należących do urzędników i osób bliskich prezydentowi Petrowi Poroszence.

Propozycje te były uzupełnione przez linki do konkretnych dokumentów ze zhakowanych skrzynek pocztowych przechowywanych w usłudze udostępniania plików Google Disk. Dokumenty te były szkicami i kopiami różnych umów oraz dokumentów urzędowych.

Okazało się, że po kliknięciu na te linki można było zobaczyć całe pliki z dokumentami. Można było także ustalić, kto był właścicielem skrzynki pocztowej, z którą ten folder na dysku Google był powiązany.

Najbardziej prawdopodobnym wyjaśnieniem tego skąd wziął się w zestawieniu taki materiał, może być  to, że podczas publikowania wykradzionych danych i plików, ci, którzy stworzyli witrynę i kanał Telegramu w celu dystrybucji zhakowanych materiałów, po prostu zapomnieli usunąć z tablicy plików wewnętrzny dokument, który został przez nich użyty do koordynowania planu ataku informacyjnego.

Jednak ukraińskie doświadczenia związane z wykorzystywaniem hakowania jako ataków politycznych też nie są nowe ani innowacyjne. W 2016 roku atakujący przeprowadzili cyberatak na Amerykański Komitet Narodowy Partii Demokratycznej. W wyniku dochodzenia ustalono, że dwóm grupom rosyjskich hakerów udało się zhakować amerykańską Partię Demokratyczną. Były to grupy „Cozy Bear” (także – CozyDuke albo APT29) oraz „Fancy Bear” (również – Sofacy Group lub APT28). Cozy Bear Group uzyskała nieautoryzowany dostęp do systemu informatycznego Partii Demokratycznej latem 2015 roku, a Fancy Bear w kwietniu 2016 roku.

W celu legalizacji skradzionych danych stworzono wizerunek, który miał służyć jako fasada dla grupy – „hakera” o imieniu Guccifer 2.0. Ten przydomek został zapożyczony od innego hakera – Rumuna Marcela Lazara Legela, który nazywał się Guccifer (połączenie słów Gucci i Lucyfer).

Marcel Lehel stał się znany z hakowania skrzynek pocztowych znanych osób (w szczególności siostry byłego prezydenta USA George’a Walkera, Busha). W 2014 roku został skazany w Rumunii na siedem lat więzienia. Później został on przekazany do Stanów Zjednoczonych. Już w USA Lehel powiedział, że wielokrotnie włamywał się na osobisty serwer e-mail Hillary Clinton, gdy była ona sekretarzem stanu USA. Jednak w lipcu 2016 roku ówczesny dyrektor FBI James Comey powiedział, że Legel skłamał i że nie znaleziono rozstrzygających dowodów na jego zaangażowanie w dokonanie tego przestępstwa.

Według analityków firmy ThreatConnect, najprawdopodobniej Guccifer 2.0 jest jedynie działaniem fasadowym, próbą podjętą przez rosyjskie służby wywiadowcze w celu odwrócenia uwagi od ich roli w zorganizowaniu włamania do systemów informatycznych Partii Demokratycznej.

Należy zauważyć, że jednym z kluczowych terminów używanych do przypisywania ataków hakerskich, czyli ustalania zaangażowania grup hakerskich w określone włamania, jest pojęcie „footprints” – śladów stóp. Nie jestem specjalistą technicznym, ale mogę powiedzieć, że widzę wyarźną obecność takich „śladów stóp” rosyjskich służb specjalnych w cyberatakach na otoczenie ukraińskiego prezydenta Petra Poroszenki.

Jeśli chodzi natomiast o włamania do Partii Demokratycznej w USA, to amerykańskie dochodzenie wykazało, że zostało to popełnione przez grupy hakerskie zaangażowane we współpracę z rosyjskimi służbami wywiadowczymi.

Tak więc rosyjskie tajne służby działają wszędzie według takiego samego scenariusza, włamują się do skrzynek pocztowych polityków, aby opublikować ich zawartość w kontekście pewnej negatywnej narracji. A więc manipulują opinią publiczną w celu wpłynięcia na wynik wyborów lub na wewnętrzną sytuację społeczno-polityczną.

I dlatego nie mam wątpliwości, że skandal w Polsce, w związku z włamaniem się do skrzynki pocztowej ministra Michała Dvorczyka, został zorganizowany i zainspirowany przez Kreml.

Autor: Dmytro Zolotukhin

Zadanie publiczne finansowane przez Ministerstwo Spraw Zagranicznych RP w konkursie „Dyplomacja publiczna 2021”. Publikacja wyraża wyłącznie poglądy autora i nie może być utożsamiana z oficjalnym stanowiskiem Ministerstwa Spraw Zagranicznych RP.