Z tego artykułu dowiesz się:
- Jaką rolę w atakach odegrała technologia szyfrowania znana jako router „cebula”.
- Co wskazuje na to, że prowokatorzy mogli na bieżąco śledzić i kontrolować akcję służb ratunkowych.
- Dlaczego seria fałszywych zgłoszeń nosi znamiona rosyjskiej operacji z zakresu wojny hybrydowej.
- W jaki sposób takie incydenty testują odporność państwa i mogą „uśpić” system bezpieczeństwa.
W pierwotnej wersji tekstu pojawił się błędny termin „router cebula”. Redakcja naprawiła błąd, lepiej wyjaśniając, na czym polega tzw. trasowanie cebulowe.
Chaos, eskalacja emocji, osłabienie czujności służb na kolejny, już nie fałszywy, alarm? Akcja fałszywych zgłoszeń o pożarach, próbach samobójczych, zagrożeniu życia domowników przybiera na sile. Po sobotnim fałszywym alarmie w mieszkaniu matki prezydenta Karola Nawrockiego służby wyważyły drzwi i weszły do środka. Najpierw było zgłoszenie o pożarze, a potem o zagrożeniu życia dziecka. Pożaru nie było, w mieszkaniu znajdowały się tylko zwierzęta. Dzień wcześniej podobne zgłoszenie dotyczyło adresu Sławomira Cenckiewicza, byłego szefa prezydenckiego Biura Bezpieczeństwa Narodowego. Różnica polega na tym, że sprawcy w przypadku prof. Cenckiewicza użyli maila, a w przypadku mieszkania prezydenta telefonu komórkowego. Prowokatorzy mieli doskonałe rozpoznanie – zaatakowali, gdy w obu mieszkaniach nie było nikogo z domowników.
Sprawca użył aplikacji Alarm 112, wysyłając wiadomość SMS z numeru telefonu, który został już ustalony przez służby. – Wiemy, na kogo jest zarejestrowany. Ustalamy, gdzie przebywa ta osoba i co ma wspólnego z tym zdarzeniem – mówi „Rzeczpospolitej” prok. Mariusz Duszyński, rzecznik gdańskiej prokuratury, która w poniedziałek wszczęła śledztwo w tej sprawie.
Czytaj więcej
„Jestem na Wiktorskiej ...popełniam samobójstwo, mam na sobie pas szahida, wy...ę wszystko” – taki mail, według informacji „Rzeczpospolitej”, uruch...
Według naszych nieoficjalnych informacji służby podejrzewają, że fałszywe zgłoszenia dotyczące mieszkania rodziny prezydenta zostały dla kamuflażu wysłane z wykorzystaniem tzw. sieci tor, czyli trasowania cebulowego (z ang. onion routing). Technika ta służy do anonimowej komunikacji w sieci.
Onion routing zaciera ślady prowadzące do przestępców
Nazwa „cebula” odnosi się do tego, że potrafi mieć kilkadziesiąt, a może i więcej warstw zabezpieczenia maskowania tzw. numeru IP. – Nie można zidentyfikować właściciela tego urządzenia. To tak, jak w przypadku cebuli, gdy pod jedną warstwą jest kolejna i kolejna – tłumaczy nasz rozmówca ze służb. Śledczy przypuszczają, że używając właśnie takiej techniki, wysłano SMS z fałszywym zgłoszeniem.
Ten rodzaj maskowania utrudnia, a czasem wręcz uniemożliwia ustalenie, z jakiego IP, czyli z którego komputera czy z jakiego telefonu wysłano wiadomość lub wykonano połączenie. Co więcej – również z jakiego miejsca kraju czy świata wysłano SMS. Może to się skończyć podobnie jak w przypadku wcześniejszych zgłoszeń dotyczących dziennikarzy Telewizji Republika – służby mogą być na tropie nie prawdziwego sprawcy, tylko osoby, pod której numer telefonu się podszyto. W sprawie fałszywego zgłoszenia w domu Tomasza Sakiewicza taką osobę nawet zatrzymano, ale następnego dnia zwolniono.
Czytaj więcej
Zdobyliśmy dowody, że cyberataki realizowane były z Mińska - twierdzą autorzy raportu firmy Mandiant, która od czterech lat śledzi działania cybers...
W sprawę zaangażowani są policjanci z Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Agencji Bezpieczeństwa Wewnętrznego (ABW), ale także wojskowi. Fałszywe zgłoszenia zostały zakwalifikowane jako sabotaż internetowy. Według naszych informacji ustalenia służb wskazują, że przy pierwszych „fałszywkach” o pożarach czy rzekomym zagrożeniu życia sprawcy mieli wykorzystywać serwery w krajach skandynawskich, przy kolejnych – miały to być serwery w Rosji.
Sprawcy fałszywych alarmów podsłuchują polskie służby?
W przypadku mieszkania w Gdańsku, należącego do rodziny Karola Nawrockiego, kilka faktów wymyka się z pierwotnego wzorca poprzednich ataków. Po pierwsze, prowokatorzy nie tylko znali adres tego lokalu (znajduje się co prawda w oświadczeniu majątkowym prezydenta, jednak jest tam zanonimizowany), lecz nawet wiedzieli, że jest on wyłączony z ochrony SOP. Po drugie – i to już jest mocno niepokojące – ich działania wyglądały tak, jakby na bieżąco kontrolowali akcję służb i reagowali na ich działania. Kiedy pierwszy SMS nie odniósł skutku, po 15 minutach wysłali drugiego do Wojewódzkiego Centrum Powiadamiania Ratunkowego. Tym razem nie o pożarze, ale właśnie o dziecku, które nie daje oznak życia.
To właśnie drugi SMS spowodował, że służby nie wycofały się z akcji po wstępnych oględzinach, ale zdecydowały się wyważyć drzwi do mieszkania. Wygląda to tak, jakby inicjatorzy działań mieli dostęp do komunikacji pomiędzy służbami. Albo ktoś z nich był w rejonie, gdzie wszystko się rozgrywało i obserwował z zewnątrz działania strażaków i policjantów. Dlatego właśnie, według ustaleń „Rzeczpospolitej”, policjanci zabezpieczyli monitoring z okolicy – z ulic i budynków.
Czytaj więcej
Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina byłego szefa CBA - Pawła Wojtunika oraz posła PO –...
Relację z akcji opisał w TVN24 Marcin Kierwiński, szef MSWiA: – Straż dojeżdża pierwsza na miejsce zdarzenia. Patrzy, że nie ma dymu. Zagląda z zewnątrz do tego mieszkania – mówił. – Równolegle przychodzi drugie zgłoszenie, które mówi o tym, że jest tam osoba, która straciła funkcje życiowe – dodawał. – Wtedy dowódca operacji podejmuje decyzję w związku z zagrożeniem życia, aby otworzyć to mieszkanie – wyjaśniał minister Kierwiński.
W przypadku Telewizji Republika też były podwójne zgłoszenia
Służby w Polsce porozumiewają się na częstotliwościach radiowych w znacznej części otwartych i nieszyfrowanych – ich przechwycenie jest dość proste i tanie. Służą do tego tzw. skanery radiowe do odbioru sygnału, które można kupić za niewielkie pieniądze. Tylko w przypadkach, kiedy chodzi o dane niejawne lub wrażliwe, policja zmienia kanał na szyfrowany, kodowany.
Na razie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i tropem rosyjskim. Sprawa jest jednak dynamiczna i nic nie jest przesądzone
Jak było w tym przypadku? „Na terenie Gdańska policjanci wykorzystują nowoczesne systemy cyfrowej łączności radiowej” – odpowiedziała nam podinsp. Magdalena Ciska, rzeczniczka Komendanta Wojewódzkiego Policji w Gdańsku.
– W przypadku zgłoszeń do domów naszych dziennikarzy też mieliśmy powtórne zgłoszenia następnego dnia. Tak było u Michała Rachonia i u mnie. Służby przyjechały, mimo że dzień wcześniej fałszywy alarm się nie potwierdził – mówi „Rzeczpospolitej” Tomasz Sakiewicz, redaktor Telewizji Republika. Sprawę badają policjanci z CBZC oraz stołeczna policja. Zabezpieczony został materiał dowodowy, analizowane są dane teleinformatyczne i telekomunikacyjne.
Czy badany jest wątek rosyjski? – Na razie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i tropem rosyjskim. Sprawa jest jednak dynamiczna i nic nie jest przesądzone – mówi nam nasze źródło w Kancelarii Prezesa Rady Ministrów.
Ekspert: Fałszywe alarmy w Polsce wyglądają jak model wojny hybrydowej
– Fałszywy alarm dotyczący pożaru w domu rodziców prezydenta, podobnie jak wcześniejsze interwencje wobec środowiska TV Republika, wpisuje się w mechanizm tzw. active measures – działań destabilizacyjnych opisanych w rosyjskiej doktrynie operacji wpływu. Ich celem nie jest wyłącznie wywołanie pojedynczego incydentu, lecz generowanie chaosu informacyjnego, eskalacja emocji politycznych oraz pogłębianie polaryzacji społecznej – twierdzi Tomasz Safjański, profesor Akademii WSB w Dąbrowie Górniczej, wicedyrektor Centrum Badań nad Bezpieczeństwem Transgranicznym. Ekspert uważa, że dobór celów nie wygląda przypadkowo: z jednej strony media i osoby kojarzone z określonym środowiskiem politycznym, z drugiej strony otoczenie głowy państwa. Tego typu działania mają wywołać konflikt społeczny, podważać zaufanie do instytucji państwa i prowokować reakcje służb, które następnie stają się elementem wojny informacyjnej i medialnej.
– To klasyczny mechanizm wojny hybrydowej: wykorzystać procedury demokratycznego państwa przeciwko samemu państwu, przeciążać służby, wywoływać chaos i wzmacniać społeczne podziały. Celem nie jest fizyczne zniszczenie infrastruktury, lecz osłabienie spójności społecznej, destabilizacja debaty publicznej i erozja zaufania obywateli do państwa – wskazuje prof. Safjański. Nie wyklucza, że „za tym mogą stać rosyjskie grupy hakerskie. W ostatnich latach służby państw UE wielokrotnie wskazywały udział w operacjach wpływu rosyjskich grup hakerskich takich jak Fancy Bear czy Cozy Bear”.
Jeśli społeczeństwo zacznie widzieć chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez jednego wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od środka
Oprócz klasycznych cyberataków grupy te uczestniczyły także w działaniach dezinformacyjnych, operacjach psychologicznych oraz akcjach destabilizacyjnych wymierzonych w państwa NATO i UE. Charakterystyczne dla rosyjskiego modelu działań jest łączenie cyberataków, prowokacji informacyjnych oraz operacji wpływu pod fałszywą flagą w jedną spójną kampanię oddziaływania społecznego.
Fałszywe alarmy w Polsce mogą być tzw. operacją pod fałszywą flagą
Operacje pod fałszywą flagą to najbardziej zaawansowana technika dezinformacji i maskowania. Hakerzy rosyjscy celowo zostawiają ślady, które mają skierować podejrzenia na zupełnie inny kraj, osoby lub organizację. W 2015 r. grupa podająca się za powiązaną z ISIS zaatakowała francuską stację telewizyjną TV5 Monde oraz groziła żonom amerykańskich żołnierzy. Śledztwo wykazało, że stojąca za tymi atakami grupa CyberCaliphate to w rzeczywistości rosyjska Fancy Bear, która chciała wywołać panikę przed terroryzmem islamskim na Zachodzie.
Czy fala fałszywych zgłoszeń uderzających w prawicowe środowiska w Polsce pasuje do schematu? – Typowe cechy modus operandi takich środowisk obejmują: wykorzystywanie zagranicznych serwerów VPS i infrastruktury pośredniczącej do utrudnienia identyfikacji sprawców, korzystanie z telefonii internetowej, spoofingu numerów oraz usług anonimizujących, prowadzenie działań seryjnych wobec celów o wysokim znaczeniu medialnym, wywoływanie silnego efektu emocjonalnego i politycznego przy minimalnych kosztach operacyjnych, prowokowanie reakcji służb i instytucji państwowych w celu późniejszego wykorzystania medialnego oraz eskalowanie polaryzacji społecznej poprzez wzmacnianie konfliktów politycznych i informacyjnych – wymienia prof. Safjański.
Te wszystkie cechy obserwujemy obecnie w Polsce. – To, choć ma wyglądać na działania przypadkowego „żartownisia”, takim działaniem nie jest. Tego typu operacje wymagają zaplecza technicznego, infrastruktury, koordynacji i świadomości konsekwencji. Sprawcy wiedzą, że wchodzą w konfrontację nie z pojedynczą służbą, lecz z całym państwem i jego systemem bezpieczeństwa. Właśnie dlatego takich działań nie wolno lekceważyć – ich celem jest testowanie odporności państwa, wywoływanie chaosu i podważanie zaufania obywateli do instytucji publicznych – podkreśla ekspert. I zaznacza, że logika współczesnej wojny hybrydowej pokazuje jasno: kolejny alarm wcale nie musi być fałszywy. Właśnie na tym polega mechanizm takich operacji – osłabianie czujności państwa i społeczeństwa poprzez serię prowokacji, fałszywych sygnałów i chaosu informacyjnego. Dlatego najważniejsze jest dziś zachowanie pełnej czujności i traktowanie każdego sygnału poważnie.
Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Moje pytanie brzmi: co będzie dalej, do czego się posunie?
Tomasz Sakiewicz, który jeszcze tydzień temu podważał, że za atakiem mogą stać rosyjskie służby, dziś – w kontekście uderzenia w rodzinę prezydenta – jest przekonany, że tak właśnie jest. – Uważam, że Rosja skorzystała z ataku na nas i przejęła ten model do uderzenia w państwo, w głowę państwa. Proszę zauważyć, że doszło do tego chwilę po tym, jak Donald Trump ogłosił zainstalowanie amerykańskiego wojska w Polsce, co Rosji niewątpliwie odbiera siłę geopolityczną. Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Moje pytanie brzmi: co będzie dalej, do czego się posunie? – ocenia Sakiewicz.
Prof. Safjański: – Oczywiście, na obecnym etapie nie można publicznie i jednoznacznie przypisać sprawstwa Federacji Rosyjskiej bez przedstawienia twardych dowodów operacyjnych i technicznych. Natomiast z punktu widzenia metod działania, logiki operacyjnej oraz strategicznych interesów Kremla hipoteza o rosyjskiej inspiracji lub wykorzystaniu tego incydentu w ramach działań hybrydowych jest wysoce prawdopodobna i powinna być traktowana przez państwo bardzo poważnie.
Jakie będą konsekwencje fałszywych alarmów?
Eksperci ostrzegają, że jeżeli państwo nie zbuduje odporności na chaos informacyjny i seryjne fałszywe alarmy, konsekwencje mogą być bardzo poważne. – Z czasem służby zaczną działać w permanentnym przeciążeniu, funkcjonariusze będą reagować mechanicznie, a decydenci stracą zdolność odróżniania prowokacji od realnego zagrożenia. W takim systemie prawdziwy atak terrorystyczny, sabotażowy czy cybernetyczny może zostać zignorowany właśnie dlatego, że wcześniej system został „uśpiony” nadmiarem fałszywych sygnałów – przestrzega Tomasz Safjański.
Czytaj więcej
Rząd musi zrobić wszystko, by jak najszybciej wskazać winnych serii fałszywych alarmów, które dotarły już nawet do rodziny prezydenta Karola Nawroc...
Dlatego na tego typu zgłoszenia służby muszą reagować szybko, ale z rozwagą, dobrym rozpoznaniem oraz podejmować działania adekwatne do skali zagrożenia. W Gdańsku interweniujący funkcjonariusze nie wiedzieli, że interwencja dotyczy mieszkania matki prezydenta, choć policja posiada dostęp do baz adresowych, więc ustalenie właściciela nie powinno stanowić problemu. Zastosowano od razu rozwiązanie siłowe. Tymczasem, jak wskazuje prof. Safjański, w przypadku zgłoszeń o niepewnym charakterze kluczowe powinno być równoczesne prowadzenie działań ratunkowych i analitycznej weryfikacji wiarygodności informacji. – Zwłaszcza gdy chodzi o miejsce o szczególnym znaczeniu publicznym. Naturalnym elementem procedury powinna być szybka identyfikacja właściciela lokalu, analiza wcześniejszych incydentów, ocena ryzyka prowokacji oraz wykorzystanie wszystkich dostępnych źródeł informacji jeszcze przed eskalacją działań siłowych – wylicza.
Najgroźniejsza jest jednak stopniowa utrata zaufania obywateli do państwa. – Jeśli społeczeństwo zacznie widzieć chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez jednego wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od środka – zaznacza były policjant.
