Marcin Siedlarz: Mińsk atakuje Zachód

Raport Mandiant Threat Intelligence, która od czterech lat rozpracowuje grupę UNC1151, przynosi zaskakujące informacje. Grupa, która współpracuje z odrębną na tym etapie akcją Ghostwriter, ma być powiązana z rządem Białorusi. Ocenę tę opieracie „na wskaźnikach technicznych i geopolitycznych". Nasze służby po ataku na skrzynkę ministra Dworczyka i wcześniej posłów PiS twierdziły, że „ghostwriterami" są osoby powiązane ze służbami specjalnymi Rosji.

Polskie służby prawdopodobnie posłużyły się wtedy naszym wcześniejszym raportem i ustaleniami. Ja ze swojej perspektywy mogę powiedzieć, że to była nadinterpretacja. W analizie informacji wywiadowczych wskazuje się stopień pewności danej atrybucji. My również używamy takiej nomenklatury, i pisząc zarówno o grupie Ghostwriter, jak i o UNC1151, zastanawialiśmy się, czy stoją za tym Rosjanie. W poprzednich raportach nie twierdziliśmy, że to jest na pewno Rosja. Dobrze, że udało nam się dotrzeć do dodatkowych informacji, które bez wątpliwości pozwalają nam użyć określenia, że mamy obecnie wysoką pewność, że za tą grupą stoi Białoruś, podobnie jak za akcją Ghostwriter, bo to nie jest tożsame. Traktujemy je jako osobne grupy powiązane ze sobą, powołane do innych zadań. Naszym zdaniem UNC1151 odpowiada za techniczne wsparcie i kampanie phishingowe, wysyłanie złośliwego oprogramowania, a Ghostwriter za merytoryczną stronę dotyczącą operacji informacyjnej.

Może wynika to z tego, że wojskowe służby białoruskie nie są samodzielne – są przedłużeniem rosyjskich służb wojskowych GRU.

Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 lub Ghostwriter, ale dziś na to twardych dowodów nie mamy.

Czytaj więcej

Polityka

Białoruskie służby stoją za kampanią „Ghostwriter”?

Zdobyliśmy dowody, że cyberataki realizowane były z Mińska - twierdzą autorzy raportu firmy Mandiant, która od czterech lat śledzi działania cyberszpiegów UNC1151 i Ghostwriter.

Jak udało się pozyskać dowody techniczne?

Nie jestem upoważniony, by ujawnić szczegóły. Są to informacje o charakterze technicznym i pochodzą z kilku źródeł, czyli nie jest to jedno źródło, które wskazuje nam na lokalizację Mińska i Białorusi. To informacje od kilku partnerów, z którymi Mandiant współpracuje podczas prowadzenia tego typu dochodzeń, i są to źródła dość wrażliwe, dlatego nie będę mógł zdradzić, skąd one pochodzą. Zapewniam jednak, że są to dowody, które jednoznacznie wskazują na osoby znajdujące się w Mińsku. Mogę zdradzić, że w przypadku jednej z tych osób za pomocą prostych narzędzi, takich Open Source Intelligence, udało się potwierdzić, że prawdopodobnie pracuje dla armii białoruskiej.

Nie wiemy, czy jest to służba wywiadu wojskowego czy jednostka wojskowa – tutaj nie mam potwierdzenia ostatecznego. Jedną z tych osób udało się powiązać z armią białoruską z lokalizacją w Mińsku.

Są też dowody pośrednie, które wskazujecie w raporcie.

Tak. W tym raporcie podajemy ciekawą informację dotyczącą okresów działania tych grup, czyli do sierpnia 2020 r. i po sierpniu 2020 r., kiedy odbyły się wybory na Białorusi. Ten pierwszy okres jest inny od drugiego – dominowała w nim retoryka antynatowska, takie ogólne informacje, które miały na celu zaprzeczenie obecności wojsk amerykańskich w Europie, jak chociażby wrzutka o tym, że amerykańscy żołnierze rozprzestrzeniają koronawirusa. Po sierpniu 2020 r., po sfałszowanych wyborach Łukaszenki, ta narracja się zmieniła i stała się bardziej zbieżna z punktu widzenia interesów Mińska. Bardziej mówiło się o skandalach korupcyjnych na różnych szczeblach władzy na Litwie i w Polsce (do tego doszła dyskredytacja białoruskiej opozycji) czy o rzekomym polskim wsparciu dla przewrotu na Białorusi. Tak jak Polska, Litwa, Łotwa i Ukraina były głównie celem ataków Ghoswritera i UNC1151, tak w tych naszych obserwacjach zaobserwowaliśmy tylko pojedynczą kampanię przeciwko Estonii, która przecież odgrywa istotną rolę członka NATO na wschodniej flance.

O czym to może świadczyć?

Sprawa jest bardzo trywialna – Estonia nie jest bezpośrednim sąsiadem Białorusi i mimo tego, że jest bardzo ważnym członkiem NATO, być może nie leży w głównym obszarze ich zainteresowania i w konsekwencji występuje tylko incydentalnie wśród ofiar grup UNC1151 i Ghostwriter.

Czy Mandiant może przekazać dowody państwom, które padły ofiarą tych grup?

Przed publikacją zespół Mandiant Threat Intelligence skontaktował się z rządami państw i organizacjami międzynarodowymi, które były na celowniku obu grup, i przekazał stosowne informacje odnośnie do zaobserwowanych działań.

Na ile prawdziwa jest teza polskich służb, jakoby za włamaniem do poczty ministra Michała Dworczyka i posłów PiS stało UNC1151?

Mandiant dokonuje takich ustaleń i dochodzeń na wniosek zaatakowanej firmy bądź organizacji. Nie pracowaliśmy w Polsce nad tym konkretnym przypadkiem, ale odpowiadając wprost, czy „Dworczyk leaks" był celem tej grupy, nie jestem w stanie powiedzieć na 100 proc., że tak. Jako osoba, która zna trochę polskie realia i zespoły reagowania na incydenty komputerowe, zakładam, że informacja o tym, że włamanie na skrzynkę ministra Dworczyka jest wynikiem działań ze strony grupy, którą Mandiant klasyfikuje jako UNC1151, została potwierdzona przez któryś z zespołów CSIRT na podstawie wcześniejszych publikowanych przez Mandiant informacji o UNC1151.

Mogę natomiast potwierdzić, że mamy próbki e-maili phishingowych, które wskazują na to, że rzeczywiście to PiS był celem ataków UNC1151. Dodatkowo UNC1151 przygotował znaczącą infrastrukturę phishingową pod ataki wykierowane w użytkowników wielu polskich portali internetowych, MON, TVP itd. Tego jesteśmy pewni.

Skoro za UNC1151 stoją białoruskie służby wojskowe, czy to, co dzieje się obecnie w Polsce na granicy z Białorusią, może być częścią kampanii Ghostwriter wymierzonej w Polskę?

Nie ma tu bezpośredniego związku, natomiast sianie propagandy czy dezinformacja są po prostu wymarzonym polem do takich działań. Sytuacja na granicy jest wręcz idealna do wykorzystania jej w działaniach informacyjnych, jak chociażby publikowanie nieprawdziwych, zniekształconych informacji np. o zgonach imigrantów, które nie miały w ogóle miejsca. To wszystko są działania prowokacyjne na styku wojny informacyjnej i środków aktywnych. Operacje informacyjne w stylu Ghostwriter wykonywane są od kilkudziesięciu lat i nie jest to nic nowego, że sytuacja, z którą mamy do czynienia na polsko-białoruskiej granicy, jest wykorzystywana do działań propagandowych. Należy się zastanowić, czy nie jest to element odwracający uwagę od innych punktów zapalnych w Europie Wschodniej, chociażby na Ukrainie.

Jaki może być ich następny krok?

Działania dezinformacyjne Ghostwriter i UNC1151 nie osiągnęły jeszcze pełnej skali. Tylko niewielka część tych informacji z wykradzionej całości została opublikowana. Większa część jest ciągle w ich posiadaniu i może zostać użyta w przyszłości – tylko politycy partii rządzącej byli celami ataków phishingowych i ofiarami okradania skrzynek mailowych. Trudno ferować wyroki o tym, jak poważna to była skala. Taką wiedzę mają zapewne polskie służby.

Z ustaleń ABW i SKW wynika, że na liście celów cyberataku znajdowało się ok. 4350 adresów e-mail należących do polskich obywateli.