Na liście celów cyberataku znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli. Przeprowadziła go grupa o nazwie UNC1151 powiązana ze służbami specjalnymi Rosji – wynika z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, które ujawnił we wtorek Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych.

Wśród zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy, pracownicy mediów i organizacji pozarządowych. W tej grupie „znalazł się również adres, z którego korzystał minister Michał Dworczyk". Żaryn opisał, jak włamano się na konto szefa KPRM. Posłużono się zainfekowanym linkiem, który hakerom otworzył dostęp do komputera ministra, tzw. phishing. „Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka" – podał Żaryn.

Według służb działania grupy UNC1151, które dotknęły ostatnio Polski, to element akcji „Ghostwriter", której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.

Ale zdaniem informatyków zajmujących się cyberbezpieczeństwem „cała sprawa jest dość dziwna". – To może być atak wycelowany w naszych polityków, ale wewnętrznie wydaje nam się, że coś tu śmierdzi. W naszej ocenie może to być początek lub fragment jakiejś większej kampanii. Przejęte konta mogły posłużyć np. do ataku w innym kierunku, czyli atakujący wykorzystuje czyjeś konto do zdobycia zaufania faktycznego celu i nasz kraj może być tylko „celem pośrednim". Może być też tak, że atak maskuje inne zdarzenia – mówi nam Przemysław Krejza, dyrektor ds. badań i rozwoju spółki Mediarecovery.

Wynika to bowiem z wiedzy o działaniach „Ghostwriter", która działa od ok. 2018 r. Szczegółowo opisuje to raport spółki Mandiant Threat Intelligence, nazywając to kampanią wpływu cybernetycznego, która była skierowana przede wszystkim do odbiorców na Litwie, Łotwie i w Polsce z narracjami krytycznymi wobec obecności NATO w Europie Wschodniej. Zdaniem Mandiant UNC1151 to grupa cyberszpiegowska, która przeprowadza przynajmniej część akcji „Ghostwritera".

Z raportu dowiadujemy się, że atak na konta polityków PiS z jesieni ub.r. był częścią akcji „Ghostwriter". Mandiant pisze, że „konta polskich urzędników w mediach społecznościowych zostały skompromitowane i wykorzystane do rozpowszechniania narracji pozornie mających na celu zdyskredytowanie polskiego rządu i poszerzenie istniejących wewnętrznych podziałów politycznych". Ich zdaniem grupa UNC1151 to „sponsorowany przez państwo cyberszpiegowiec, który bierze udział w zbieraniu danych uwierzytelniających i kampaniach złośliwego oprogramowania" w ramach „Ghostwritera". „Od początku 2021 r. UNC1151 rozszerzyła swoją działalność w zakresie kradzieży poświadczeń, aby wycelować w osoby z Niemiec, koncentrując się na politykach" – twierdzą autorzy raportu. Ich celem od wielu lat są takie kraje jak Polska, Litwa, Estonia, Ukraina, a nawet Kolumbia, Niemcy i Szwajcaria.

Żaryn podał, że w ubiegłym tygodniu ABW przesłała służbom specjalnym państw członkowskich NATO informację dotyczącą ataków cybernetycznych realizowanych przeciwko Polsce.

Zdaniem Patryka Jakiego, byłego wiceministra sprawiedliwości i europosła PiS, na autorów ataku powinny zostać nałożone sankcje przez wszystkie kraje UE. – Nie udaje się w sprawach energetycznych, więc może UE okaże solidarność choć w sprawach cyberbezpieczeństwa – mówi nam Jaki.