Cyberprzestępcy mogli mieć nieograniczony dostęp do poczty szefa Kancelarii Premiera ministra Michała Dworczyka aż przez dziewięć miesięcy. Udało im się pozyskać login i hasło do skrzynki na wp.pl poprzez oszustwo phishingu, infekując pocztę ministra fałszywym oprogramowaniem, które „otworzyło" dostęp do komputera. Pierwsza udana próba, jak ustaliła „Rzeczpospolita", miała miejsce 22 września ubiegłego roku, potem takich wejść było co najmniej kilka.

Jak ustaliliśmy, wejście na konto FB żony ministra, od którego zaczęła się „afera mailowa", było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła – hakerzy uzyskali bowiem poprawne dane, jakich używał minister. To dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania – takiego incydentu nie odnotowano. Sprawa wyszła na jaw, dopiero kiedy ukradzione materiały zaczęły być publikowane. Ukradzione Dworczykowi maile z prywatnej poczty są publikowane od 8 czerwca na rosyjskim komunikatorze Telegram.

ABW i SKW ustaliły, że wejść hakerów do poczty Dworczyka było kilka. Poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra. Oliwy do ognia dolał niebezpiecznik.pl. Kilka dni temu napisał: „Jeśli wierzyć publikowanym na Telegramie dokumentom, to włamywacze mieli dostęp do skrzynki ministra Dworczyka nawet tydzień po ujawnieniu skutków drugiej fali ataków (Suski i reszta). A nie powinni. Już w grudniu 2020 każda ważna osoba w państwie powinna zostać przeszkolona i odpowiednio »skonfigurowana« zarówno służbowo, jak i prywatnie".

Według służb sprawa Dworczyka, podobnie jak wcześniejsze ataki na konta posłów PiS, m.in. Arkadiusza Czartoryskiego czy Joanny Borowiak, miały miejsce w tym samym czasie i dokonała tego ta sama grupa cyberszpiegów – UNC1151 w ramach operacji „Ghostwriter", której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej. Rzeczywiście, zdaniem ekspertów od cyberprzestępczości „Ghostwriter" działa w „interesie Rosji", ale dotychczas nikt nie pokusił się o konkretne nazwiska osób, które za tym stoją.

Zdaniem naszych rozmówców, którzy znają kulisy sprawy Dworczyka, służby mają już konkretne ustalenia – i dlatego nie obawiają się sformułowań, że „grupa o nazwie UNC1151 jest „powiązana ze służbami specjalnymi Rosji".

Powstaje jednak pytanie, dlaczego maile Dworczyka wypływają od czerwca, skoro hakerzy posiadają je od końca września? Otoczenie premiera twierdzi, że sprawa ma związek z Ramanem Pratasiewiczem, białoruskim opozycyjnym dziennikarzem, współzałożycielem kanału Nexta, który pod koniec maja został zatrzymany na lotnisku w Mińsku po przymusowym lądowaniu, które wymusiły białoruskie służby. Atak na Dworczyka nastąpił kilka dni później. – Analizując ataki „Ghostwritera", wiemy, że gromadzą bazy ukradzionych danych i czekają na dobry moment, by to wykorzystać, tak by pasowało to do ich narracji – mówi nasz informator.

Poczta Dworczyka zawierała setki maili. Dotychczas ujawniono kilka. Część z nich jest publikowana w sprokurowanych formach, np. doklejane są osoby, które miały być w grupie korespondencyjnej, lub dopisywane są akapity. Kancelaria Premiera i sam Dworczyk nie komentują tych informacji. Czy PiS boi się, co było na prywatnej poczcie szefa KPRM, a co może jeszcze wypłynąć? – Było tam wiele informacji o Rosji. Omawiano np. szczegóły wystąpień, stanowisk rządu – mówi nasze źródło.

Cyberprzestępcy nie złamali dostępu do domeny gov.pl nikogo z ministrów, co jest dowodem na to, że są one dobrze chronione. Oficjalnie KPRM tłumaczy fakt przesyłania służbowej korespondencji na prywatną okresem pandemii, która spowodowała, że wielu urzędników administracji publicznej pracowało z domu. To tylko pół prawdy – służbowe smartfony, laptopy i tablety mają bowiem możliwość pracy z serwerami gov.pl.

Prawdziwym powodem ma być krążąca po KPRM informacja o tym, że w 2013 r. po odejściu Tomasza Arabskiego, szefa KPRM, skopiowano wszystkie jego e-maile.

Autopromocja
ORZEŁ INNOWACJI

Zgłoś swój projekt w konkursie dla startupów i innowacyjnych firm

WEŹ UDZIAŁ