Czy uważasz, że wyciek poufnych maili ze skrzynki Szefa Kancelarii Premiera RP – Michała Dworczyka to sprawa rosyjskich służb specjalnych? A może jednak to niewinny wybryk grupy licealistów poświęcających wolny czas na niewybredne wybryki w sieci? Jeśli znasz dowiedź na to pytanie, nie czytaj tego artykułu.
Jeśli jednak dalej go czytasz znaczy to, że zaciekawiło Cię, kogo wytypuję jako autora afery okrzykniętej przez media mianem #DworczykLeaks.
Piątego lutego pojawiło się pierwsze rosyjskojęzyczne źródło, ujawniające rządowe dokumenty z Polski, kanał @Ludazhor prowadzony przez Юрий Терех (Jurij Tierech). Jest to białoruski bloger, od niedawna publicysta głównej, białoruskiej państwowej gazety „Sovetskaya Belorus – Belarus Segodnya”, popierającej administrację Aleksandra Łukaszenki i atakującej opozycję. Już ósmego lutego podobną wiedzą (choć innym dokumentem) pochwaliło się drugie źródło na Telegramie, także rosyjskojęzyczne. Na platformie Telegram powstał kanał, który zaczął publikować dokumenty związane między innymi z działalnością proobronną i geostrategiczną polskiego rządu. Twórca kanału komentował /dokumenty po rosyjsku, niektóre z nich były po rosyjsku, inne tłumaczone. Początków wycieku należy jednak szukać już we wrześniu 2020 roku. Pierwsze włamanie na konto Michała Dworczyka (według niektórych źródeł było ich dwa), miało miejsce dwudziestego drugiego września 2020 roku. Prawdopodobnie doszło do tak zwanego phishingu, czyli jednej z najpopularniejszych ostatnio metod działania internetowych oszustów. Sprawcy pozyskali login i hasło do skrzynki na wp.pl po zainfekowaniu poczty ministra fałszywym oprogramowaniem. Według mojej wiedzy polska agencja zajmująca się działaniami kontrwywiadowczymi (ABW), jako sprawcę włamania typuje bliskiego współpracownika ministra Dworczyka, jednak ze względów politycznych o wiele bardziej korzystne wizerunkowo jest medialne kierowanie podejrzeń w stronę wywiadu rosyjskiego.
Opublikowany w dniu 22 czerwca 2021 roku wspólny komunikat Agencji Bezpieczeństwa Publicznego i jego wojskowego odpowiednika – Służby Kontrwywiadu Wojskowego wprost informuje, iż za atakiem stoi grupa UNC1151, i jest to element ogólnoświatowej akcji „Ghostwriter”.
W opublikowanej na stronie internetowej gov.pl i podpisanej przez Rzecznika Ministra Koordynatora Służb Specjalnych oficjalnej nocie czytamy:
„Z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego wynika, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego, znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli, lub funkcjonujących w polskich serwisach poczty elektronicznej. Co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów. Polskie służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych.
Na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy. Atak dotknął osób pochodzących z różnych opcji politycznych, a także pracowników mediów i organizacji pozarządowych. Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. Służby odpowiedzialne za cyberbezpieczeństwo przeanalizowały kilka wiadomości wysłanych na adres ministra, które mogły posłużyć do potencjalnego phishingu - ich zawartość oraz konstrukcja miały na celu wyłudzenie danych niezbędnych do logowania. Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka.
Wszystkie dotychczas pozyskane informacje wskazują, że działania grupy UNC1151, które dotknęły w ostatnich tygodniach Polskę, to element akcji „Ghostwriter”, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.
W związku z zagrożeniami w cyberprzestrzeni identyfikowanymi przez ABW, Agencja w przeszłości przekazywała i na bieżąco przekazuje zagrożonym użytkownikom ostrzeżenia o możliwych atakach na konta w mediach społecznościowych oraz na skrzynki poczty elektronicznej.
W związku z ostatnimi wydarzeniami Zespół do spraw incydentów krytycznych przyjął rekomendacje w zakresie ograniczenia skutków ataku względem osób pełniących funkcje publiczne i zwrócił się w trybie przewidzianym w artykule 36 ustawy o krajowym systemie cyberbezpieczeństwa o zwołanie rządowego zespołu zarządzania kryzysowego. RZZK zatwierdził plan działania, a jego wykonanie zostało powierzone CSIRT NASK we współpracy między innymi z Policją. Pierwsze działania zostały podjęte w piątek i są kontynuowane w tym tygodniu. Ich głównym celem jest zabezpieczenie osób, które mogły paść ofiarą ataku.
W ubiegłym tygodniu Agencja Bezpieczeństwa Wewnętrznego przesłała służbom specjalnym państw członkowskich NATO informację dotyczącą ostatnich ataków cybernetycznych realizowanych przeciwko Polsce.
Nie wierzę jednak do końca w prawdziwość tej informacji. Moje przypuszczenia potwierdza również Anna Mierzyńska, niezależna autorka publikująca w portalu OKO.press. W swym artykule z dwudziestego trzeciego czerwca 2021 roku napisała:
(…)cały atak to element operacji „Ghostwriter”, za którą stoją rosyjskie służby. Szybkie wyjaśnienie. Tyle tylko, że o operacji Ghostwriter wiadomo publicznie przynajmniej od lipca 2020 roku, kiedy amerykańska firma Fireeye, zajmująca się cyberbezpieczeństwem, opublikowała pierwszy raport na ten temat.
Czemu więc informacja służb o wyłudzeniach danych dostępu do maili pojawia się dopiero teraz? Czy podane liczby zhakowanych kont dotyczą ostatniego okresu, czy całej operacji Ghostwriter?
Skoro ofiarami operacji padło tak wiele osób publicznych, czemu publikowane są tylko maile ze skrzynki ministra Dworczyka? Do tego w ramach Ghostwriter, jak wynika z raportów Fireeye, wykorzystywano przede wszystkim konta w mediach społecznościowych oraz zhakowane witryny internetowe, a nie maile.
Wreszcie: dlaczego ktoś, kto prowadzi kanał na Telegramie, publikujący maile Dworczyka, robi to w sposób dość rozrywkowy? Komentuje pojawiające się w mediach wypowiedzi, wrzuca memy, zabawne gif-y, zrobił sondę o prawie do aborcji w Polsce.
Na dodatek, wbrew wcześniejszym opiniom, wykazuje się dobrą znajomością języka polskiego, także specyficznego slangu, który jest używany w internecie. Czy to wygląda na rosyjską albo białoruską operację służb wywiadowczych?
Tak jak sposób rozprowadzania dokumentów z pierwszego kanału na Telegramie może świadczyć o związkach z białoruskimi służbami, tak na drugim wcale tego nie widać. Nie wiadomo nawet, czy twórcy obu kanałów działają wspólnie.
Wszystkie te wątpliwości nie pozwalają zbudować spójnego obrazu #DworczykLeaks. Ale jest jedno zdarzenie, które może wiele wyjaśnić.
Dokładnie 2 lutego na jednym z hakerskich forów internetowych został zamieszczony plik zip, zawierający ogromną bazę wykradzionych danych z adresami mailowymi i hasłami do nich.
Wyciek ten nazwano COMB21 lub Breachcomp2.0. Mowa o 3,28 miliardach haseł, powiązanych z 2,18 miliarda unikalnych adresów e-mail (dziś to już nie jest największy wyciek, kolejny miał miejsce na początku czerwca). W wielu przypadkach ujawniono od trzech do nawet 30 haseł powiązanych z jednym adresem. Daje to możliwość wglądu we wzorce, stosowane przez użytkowników podczas tworzenia haseł. Znajomość historii zabezpieczeń pozwala hakerom odgadnąć nowe dane dostępu nawet wtedy, gdy hasło zostaje zmienione, ale jest tworzone zgodnie z używanym dotychczas wzorcem. Opublikowany plik był kompilacją wielu wcześniejszych wycieków, m.in. z witryn Netflix, LinkedIn, Exploit, Bitcoin i innych. Zawierał adresy mailowe tak popularnych, międzynarodowych serwisów pocztowych jak Gmail, Hotmail czy Yahoo.(…)
Międzynarodowa firma Syhunt, zajmująca się oprogramowaniem, przeanalizowała plik z danymi. Okazało się, że zawiera on miliony haseł powiązanych z mailami z domen rządowych. „To stanowi poważne zagrożenie dla podmiotów rządowych na całym świecie. Wyciek COMB21 mogą wykorzystać nie tylko hakerzy i cyberprzestępcy, ale także wrogo nastawione zagraniczne podmioty” – napisali autorzy raportu Syhunt.
COMB21 dotknął także Polskę. Z analizy Syhunt wynika, że zapisano w nim dane dostępu do 4194 maili w polskiej domenie rządowej gov.pl (co jest mocno zbliżone do liczby 4350, podawanej w oświadczeniu służb).20 kwietnia portal Niebezpiecznik.pl ujawnił, że w Polsce doszło do wycieku danych.(…)
Wszystkie te wątpliwości nie pozwalają zbudować spójnego obrazu #DworczykLeaks. Ale jest jedno zdarzenie, które może wiele wyjaśnić.
Dokładnie 2 lutego na jednym z hakerskich forów internetowych został zamieszczony plik zip, zawierający ogromną bazę wykradzionych danych z adresami mailowymi i hasłami do nich.
Wyciek ten nazwano COMB21 lub Breachcomp2.0.
Mowa o 3,28 miliardach haseł, powiązanych z 2,18 miliarda unikalnych adresów e-mail (dziś to już nie jest największy wyciek, kolejny miał miejsce na początku czerwca).
W wielu przypadkach ujawniono od trzech do nawet 30 haseł powiązanych z jednym adresem. Daje to możliwość wglądu we wzorce, stosowane przez użytkowników podczas tworzenia haseł.
Znajomość historii zabezpieczeń pozwala hakerom odgadnąć nowe dane dostępu nawet wtedy, gdy hasło zostaje zmienione, ale jest tworzone zgodnie z używanym dotychczas wzorcem.
Opublikowany plik był kompilacją wielu wcześniejszych wycieków, m.in. z witryn Netflix, LinkedIn, Exploit, Bitcoin i innych. Zawierał adresy mailowe tak popularnych, międzynarodowych serwisów pocztowych jak Gmail, Hotmail czy Yahoo.
Choć dotychczas nigdy nie zdarzył się wyciek danych np. z Gmail, związane z nim adresy mailowe były prawdopodobnie używane w innych witrynach, na przykład podczas realizacji usług online, stąd ich obecność w wykradzionych danych. Część adresów i haseł została pozyskana w trakcie ataków phishingowych, zrealizowanych na całym świecie.
W rzetelność notki ABW i SKW nie wierzą również dziennikarki TVN Anna
Gielewska i Julia Dauksza. W swym artykule z 20 lipca 2021 napisały:
(…)autorzy operacji "Ghostwriter" rozwijają modus operandi - atakujący zaczęli rozpowszechniać fałszywe przekazy za pośrednictwem nie tylko o fałszywych kont, ale i tych należących do osób publicznych, pozyskanych w wyniku ataków phishingowych.
Zwracaliśmy uwagę, że:
- atakujący mogli już zdobyć olbrzymią ilość wrażliwych informacji od kluczowych osób w państwie;
- lista adresów mailowych, które były obiektem ataków phishingowych, liczona jest w tysiącach (to nie znaczy, że ataki były skuteczne - na dzisiaj wiadomo, że w przypadku ponad 700 adresów doszło do przekazania danych);
- adresy, które były celem phishingów, nie są przypadkowe. Na celowniku znajdują się np. członkowie rodzin polityków, analitycy, żołnierze (może to stwarzać zagrożenie związane z próbami werbunku i szantażu);
- przejęte konta w social mediach - jak można domniemywać, po pozyskaniu z nich wartościowych informacji - wykorzystywane są w akcjach dezinformacyjnych z użyciem sfabrykowanych lub zhakowanych stron instytucji publicznych i lokalnych mediów;
- dotychczasowe ataki wymierzone były przede wszystkim w stosunki polsko-litewskie oraz w sojusz z NATO.
Co jeszcze wiadomo o poprzednich atakach:
- na profilach społecznościowych Tomasza Sakiewicza, polityków: Joanny Borowiak, Marcina Duszka, Andrzeja Melaka, Arkadiusza Czartoryskiego zostały opublikowane antynatowskie fake newsy;
- kompromitujące i podburzające treści opublikowano na profilach: Marleny Maląg, Iwony Michałek, Magdaleny Sroki, Marka Surmacza, Roberta Pietryszyna, a także - co przyciągnęło uwagę - na kontach Marka Suskiego i radnej Ewy Szarzyńskiej;
- ostatnie incydenty, które opisywaliśmy pod koniec kwietnia, były złożonymi operacjami: konta senatorów i strona poselska Elżbiety Witek zostały wykorzystane do próby wywołania afery obyczajowej uderzającej w litewskich polityków, opartej o spreparowane zrzuty ekranu z portalu randkowego, zaś zhakowane konto eksperta ds. Rosji Marka Budzisza promowało na Twitterze zhakowane strony Państwowej Agencji Atomistyki i Ministerstwa Zdrowia, kolportujące fałszywą informację o incydencie nuklearnym;
- choć do końca marca w atakach dominowała narracja wymierzona w relacje polsko-litewskie, już w pierwszym ataku z serii (wrzesień 2020) pojawił się także wątek Białorusi - włamywacz opublikował wówczas na koncie Tomasza Sakiewicza fałszywy artykuł (umieszczony na zhakowanym portalu Związku Polaków na Białorusi) o tym, że Polska i Litwa domagają się wysłania wojsk NATO na Białoruś.
Ostatnie akcje przypisywane kampanii "Ghostwriter" zawierają kolejne nowe elementy.
W tym samym czasie, co atak z użyciem konta twitterowego Kamińskiej i kanału na Telegramie (koniec kwietnia 2021 roku), ma miejsce także atak informacyjny na Litwie przeciwko białoruskim opozycjonistom: Swiatłanie Cichanouskiej i Pawłowi Łatuszce. Użyto w nim nowego elementu: fałszywej prośby o dotacje. Autorzy fałszywki postarali się, by wyglądała wiarygodnie. W "prośbie" wykorzystali konto polskiej organizacji charytatywnej z Wilna, a także fejkowe wideo na utworzonym dwa dni wcześniej kanale na YouTubie oraz przejęte konta członka organizacji "Lithuanian Freedom Fighters Union", które rozsyłało link do fałszywki na Facebooku i Twitterze. Tak sfabrykowana narracja miała przedstawić przeciwników Łukaszenki jako wyłudzaczy i malwersantów. Sprawę opisali badacze DFR Lab, łącząc ją z operacją "Ghostwriter".
Dezinformacja dotycząca finansowania kampanii CichanouskiejDFRlab
Motywy znane już z poprzednich odsłon kampanii "Ghostwriter" widać też w ataku z 17 czerwca, w którym wykorzystano przejętą skrzynkę mailową Rafała Dzięciołowskiego, prezesa Fundacji Solidarności Międzynarodowej, rozdzielającej środki polskiej współpracy rozwojowej na projekty w krajach Partnerstwa Wschodniego (w tym na wsparcie białoruskich uchodźców). W tym samym ataku wykorzystano także media społecznościowe posłanki PiS Ewy Szymańskiej i kilku innych osób publicznych.
Na przejętym instagramie Szymańskiej pojawiły się screeny "zainscenizowanej" przez zhakowane konta dyskusji wokół wykradzionych ze skrzynki Dzięciołowskiego dokumentów dotyczących budżetu Radia Racja, wspieranej przez Fundację Solidarności Międzynarodowej stacji nadającej dla mniejszości białoruskiej w Polsce. Fałszywka została wykorzystana w artykule uderzającym w relacje pomiędzy Polską a białoruską opozycją, sugerując, że pomoc dla Białorusi jest w Polsce przedmiotem ostrej, ponadpartyjnej krytyki.
Niespełna dwa tygodnie po opublikowaniu zmanipulowanych treści na Telegramie reżim Łukaszenki zawiesił udział Białorusi w Partnerstwie Wschodnim.
Prywatne adresy mailowe Dzięciołowskiego, jak i Szymańskiej, znajdowały się w korespondencji w przejętej skrzynce Dworczyka - co przyznał nam sam minister.
Raport Mandianta z końca kwietnia wspomina także o próbie ataku phishingowego na "ważnego białoruskiego blogera i aktywistę". Można przypuszczać, że chodzi o którąś z osób prowadzących opozycyjny kanał Nexta na Telegramie (jego współtwórca Raman Pratasiewicz 23 maja został porwany z pokładu samolotu lecącego na Litwę i obecnie przetrzymywany jest przez białoruskie władze). Sciepan Puciła, twórca Nexty, po wycieku maili Dworczyka potwierdził próby zhakowania autorów kanału i podał, że atakowano też konta Domu Białoruskiego, organizacji mniejszości białoruskiej w Polsce.
Zhakowane konta inscenizują krytyczną dyskusję wokół budżetu Radia Racja
Łowienie cyberkrasnali
Czerwcowy wybuch afery mailowej to prawdopodobnie kolejny wymiar wielopoziomowej operacji, której korzenie mogą sięgać daleko przed 2020 rok.
Przypomnijmy: fakenewsowy atak z kampanii "Ghostwriter" na stronę Akademii Sztuki Wojennej miał miejsce w kwietniu 2020 r. MON wówczas uspokajał: "serwis uczelni (jako podmiotu niezależnego) był hostowany poza infrastrukturą resortu obrony narodowej, a sam incydent nie miał wpływu na funkcjonowanie resortowych systemów teleinformatycznych oraz przetwarzanych w nich danych".
Według naszych ustaleń cyberszpiedzy z UNC1151 polowali na zawartość polskich skrzynek mailowych już wiosną 2020, od początku pandemii. Zarejestrowano wówczas pierwsze domeny wykorzystywane w obecnej serii ataków. To był wymarzony moment dla wszelkiej maści cyberprzestępców - wszyscy, także politycy, przerzucili się na pracę zdalną. Wiele osób, które do tej pory pracowały z zabezpieczonych sieci biurowych, musiało zacząć korzystać z prywatnych komputerów.
Z naszej analizy wynika, że jednym z pierwszych ruchów atakujących (w czerwcu 2020) było zarejestrowanie domeny podszywającej się pod adres poczta.ron.mil.pl, obsługiwany przez Resortowe Centrum Zarządzania Sieciami i Usługami Teleinformatycznymi. Pod tym adresem do niedawna krył się panel logowania do środowiska pracy zdalnej resortu obrony narodowej. Odpowiada za niego Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC), którego zadaniem jest zabezpieczenie jawnych i niejawnych systemów informatycznych, z których korzysta ponad sto tysięcy użytkowników - np. żołnierze na zagranicznych misjach.
Miesiąc później zarejestrowano następną domenę - lekko zmodyfikowaną, nadal jednak bardzo podobną do oryginalnej domeny państwowej jednostki.
Czy któryś z ataków był skuteczny? Tego nie wiadomo.
Pod koniec maja, a więc zaledwie tydzień przed tym, gdy opinia publiczna dowiaduje się o wycieku maili Dworczyka, na stronie NCBC pojawia się notatka z treningu symulującego atak cybernetyczny na polski MSZ oraz ambasadę Królestwa Niderlandów na Litwie. "Atakujący umieścili fałszywe treści mające na celu destabilizację sytuacji politycznej w Europie. Do wyjaśnienia źródła ataku zostają zaangażowane Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni Litwy, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni (CSIRT MON) oraz Dyplomatyczne Centrum Bezpieczeństwa Cyberprzestrzeni Królestwa Niderlandów. (...) Istnieje uzasadnione podejrzenie, że komputery oraz smartphony dyplomatów Królestwa Niderlandów, Polski i Litwy są skompromitowane [przejęte - aut.] przez adwersarzy".
CSIRT MON chwali się, że "w 48 godzin zespół, którego liderem jest oficer NCBC identyfikuje skompromitowane urządzenia, ustala funkcjonalności szkodliwego oprogramowania oraz ścieżki jego rozprzestrzeniania się".
Autorzy notatki podkreślają: "na szczęście, to tylko zakończone sukcesem ćwiczenia".
W rzeczywistości - a nie w ćwiczeniach - autorzy kampanii "Ghostwriter" są o krok dalej na drodze do osiągnięcia swojego celu - dalszej destabilizacji sytuacji politycznej w Europie.
Tymczasem jeden z ostatnich komunikatów na stronie NCBC informuje o odsłonięciu pomnika krasnala Cyberka we Wrocławiu, który pomaga strzec polskiej cyberprzestrzeni.
Po próbie "złowienia" dostępu do resortu obrony narodowej atakujący sięgają po łatwiejszy łup. Przez rok zakładają ponad 20 domen wyłudzających hasła do kont pocztowych w domenach Wirtualnej Polski, Interii, vp.pl czy onet.pl. Pomysł okazuje się strzałem w dziesiątkę. To na te domeny "nabierają się" między innymi Marek Suski i Michał Dworczyk.
Co wskazuje na to, że ataki na ron.mil.pl, skrzynkę Dworczyka, media społecznościowe Agnieszki Kamińskiej, mogą być dziełem tych samych autorów - grupy, którą Mandiant w ostatnim raporcie nazwał UNC1151?
Z użyciem usługi WHOIS, dostarczającej informacji o domenach internetowych, a także sprawdzając i krzyżując informacje z różnych źródeł (m.in. załączników do raportów międzynarodowych firm zajmujących się cyberbezpieczeństwem), przeanalizowaliśmy ponad 200 domen wykorzystywanych do ataków w latach 2018-2021. Kilkadziesiąt z nich to domeny użyte w Polsce w serii ataków obejmujących okres od maja 2020 do lipca 2021. Część tych domen firma Mandiant przedstawiła w swoim ostatnim raporcie, łącząc je bezpośrednio z grupą UNC1151.
W kwietniu 2021, po próbie ataków na skrzynki posłów Bundestagu, dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi, sprawdzając wysyłany niemieckim posłom link do strony podszywającej się pod niemieckiego dostawcę internetu, natrafił na ponad 30 domen phishingowych zarejestrowanych na organizację o tej samej nazwie.
Podążyłyśmy tym tropem, który urywał się… na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii. To tam "Vasya" i "Yun" zarejestrowali na siebie kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do wszystkich możliwych usług (np. Facebooka, Twittera, iClouda), polskich skrzynek na wp.pl i Onecie, ale także wspomnianego wcześniej polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 i prowadziła do strony logowania związanej z ukraińskim wojskiem.
Domeny zarejestrowane przez "Vasyę" i "Yun"
Podążając tym tropem dalej, wyodrębniłyśmy kolejne grupy domen utworzonych w tym samym czasie według bliźniaczego schematu. Niektóre zarejestrowane są w Polsce, jednak wyróżnia je charakterystyczna literówka: Warazawa, jeszcze inna podgrupa - w Bielsku.
Domeny zarejestrowane pomiędzy wiosną 2020 a latem tego roku są utworzone według podobnego schematu, zabezpieczone w podobny sposób - najczęściej serwery są ukryte za usługą Cloudflare, która - zamiast łączyć użytkownika internetu ze stroną znajdującą się na serwerze atakującego - łączy go tylko z kopią znajdującą się na własnych serwerach Cloudflare. Innymi słowy - przy próbie zidentyfikowania autora strony po numerze IP - ślad urywa się w którymś z 93 państw, w których stoją serwerownie Cloudflare. Podobnie zamaskowane są też dane osób i organizacji, na które zarejestrowano domeny. A i tak, co stwierdziłyśmy wcześniej, są one fałszywe. Dla większości domen zarejestrowanych od początku 2021 jedyną informacją na temat tożsamości stojących za nią osób, jaką można znaleźć w rejestrze WHOIS, jest kraj rejestrującego (obecnie Islandia). Mimo to utworzone w tym okresie domeny podzielają ze sobą tak wiele cech wspólnych, że można je uznać za prawdopodobnie wykorzystywane przez tę samą grupę. Łącznie takich domen przeznaczonych do użycia w samej Polsce wyodrębniłyśmy ponad 30.
Jedna z ostatnich prób ataku, na którego ślad trafiamy, została przepuszczona z domeny zarejestrowanej 9 czerwca 2021 roku, podszywającej się pod konfigurację firewalla; według naszych informacji phishing kierujący do strony udającej panel logowania do Lotusa wyłapał i zablokował filtr na serwerach sejmowych. Lotus to należący do IBM system obsługujący polski Sejm. Jednak mniej więcej w tym samym czasie i tak doszło do wejścia na sejmową skrzynkę Dworczyka - 1 lipca screen z jej zawartości, datowanej na 14 czerwca, pojawił się na kanale na Telegramie. Ci sami sprawcy logowali się też do sejmowych skrzynek 10 innych posłów różnych ugrupowań.
Dziennikarze Wirtualnej Polski ujawnili, że poczta zarówno Sejmu, jak i wielu rządowych instytucji, zawiera krytyczne błędy.
Po co grupie, która miałaby zajmować się np. tylko zamieszczaniem kompromitujących wpisów o asystentkach czy prorosyjskich fake newsów w mediach społecznościowych posłów, ataki na takie cele jak ukraińskie wojsko czy przedsięwzięcia obronne? W połączeniu z atakiem na stronę Akademii Sztuki Wojskowej czy resort obrony narodowej można zakładać, że niektóre działania mogły mieć drugie dno - na przykład służyły do rekonesansu infrastruktury, który zwykle poprzedza bardziej złożone uderzenia. W ten sposób atakujący "przygotowuje się" do większych operacji, sprawdza zabezpieczenia i reakcje służb.
Phishing ukraińskiej armii - jedna z domen
Szkoła GRU?
Z raportu Mandianta wynika, że UNC1151 już w 2018 - z wykorzystaniem nieaktywnych dziś domen z rozszerzeniem .ml i .tk próbowała łowić nieuważnych internautów. Te rozszerzenia to domeny Mali i Tokelau. Są popularne wśród cyberprzestępców, bo można je zarejestrować za darmo. Wiele ataków phishingowych z domen wykorzystywanych w tamtym okresie, przypisywanych dzisiaj UNC1151, dotyczyło adresów ukraińskich, ale nas najbardziej zainteresował adres utworzony w kwietniu 2018 - z oczywistym zamiarem wyłudzenia danych od użytkowników domeny poczta.mon.gov.pl. W 2018 r. pod tym adresem do swoich skrzynek mailowych logowali się pracownicy MON (dziś tę funkcję pełni atakowany przez UNC1151 w 2020 r. adres w domenie ron.mil.pl).
Fałszywa domena mon-gov.ml (z literówką w rozszerzeniu) kieruje nas na kolejny interesujący trop - działania innej, a być może tylko pozornie innej grupy cyberszpiegowskiej niż UNC1151.
Żywot phishingowych domen jest krótki, zależy od prędkości reagowania służb czy filtrów antyspamowych. Każdy kolejny atak wymaga więc coraz większej kreatywności. Przypomnijmy - adres, którego UNC1151 użyło w 2018 to http://poczta.mon-gov.ml/. To strzał w dziesiątkę: domena zostaje skasowana dopiero w październiku 2020. Jednak nie jest to pierwsza próba phishingowania polskiego MON-u.
W lutym 2016 identycznie zbudowanego adresu - poczta.mon-gov.pl (z myślnikiem zamiast kropki) używają inni sprawcy do próby wyłudzenia danych z MON. Dwa lata wcześniej - w 2014 - eksperymentują z adresem poczta.mon.q0v.pl. Domena mon-gov.pl została przejęta przez polski CERT, g0v.pl obecnie należy do polskiego użytkownika - obie są bezużyteczne dla atakujących.
Sprawcy tamtych dawniejszych ataków są znani - analitycy z firm zajmujących się cyberbezpieczeństwem identyfikują ich jako APT28 (APT to skrót od "advanced persistent threat", czyli zaawansowane trwałe zagrożenie). To jeden z wielu aliasów, pod którymi kryje się jednostka w mediach funkcjonująca między innymi jako "grupa aktywistów" Fancy Bear, a zdemaskowana jako jednostka GRU, rosyjskiego wywiadu wojskowego.
Można by powiedzieć, że to przypadkowa zbieżność - w końcu możliwości podszycia się pod mon.gov.pl ogranicza skończona liczba kombinacji możliwych literówek - ale kiedy patrzymy na domeny, podobieństw co do celów i szablonów domen jest więcej. Wśród działań przypisywanych UNC1151 przez Mandiant znajduje się atak na adresy mailowe armii Kuwejtu (również z 2018). Ustaliliśmy domenę, z której został przeprowadzony. Niemal identycznej domeny - różniącej się tylko rozszerzeniem - według ekspertów od cyberbezpieczeństwa z firmy TrendMicro - APT28 użyła z kolei w październiku 2015.
Aktywności grupy APT28 są od lat czujnie śledzone przez analityków. W ostatnim raporcie TrendMicro, monitorujący phishingowe maile od 2014 roku, zwróciło uwagę na nowy trend w taktyce, technikach i procedurach tej grupy (określanej przez tę firmę z kolei jako Pawn Storm). W maju 2019 zaczęła ona podszywać się pod swoje ofiary, by z ich zhakowanych kont rozsyłać kolejnym osobom zainfekowane pliki lub linki do stron wyłudzających hasła. Domeny phishingowe APT28 przedstawione na końcu raportu z 2019 są bliźniaczo podobne do tych przypisywanych UNC1151 w 2018 (z rozszerzeniami .ml i .tk).
Czy zatem może istnieć związek między grupą UNC1151 a grupą APT28?
Na wielu płaszczyznach UNC1151 wydaje się być wiernym naśladowcą dobrze znanych grup "ze szkoły" GRU, o zbieżnych celach i metodach, do tego pozyskującą informacje na użytek różnych niezależnych od siebie działań: kampanii "Ghostwriter", oficjalnej propagandy, ale także z dużym prawdopodobieństwem - gry wywiadowczej lub szantażu. Wiele wskazuje na to, że pomiędzy ich działalnością istnieje związek, który już dawno powinien postawić na nogi cały kontrwywiad.
"Hakerzy są wolnymi ludźmi jak artyści. Jeśli artysta wstaje rano i ma dobry humor, to cały dzień maluje. Tak samo jest z hakerami. Obudzili się rano, przeczytali, co dzieje się w stosunkach międzynarodowych i jeśli są nastawieni patriotycznie, zaczynają wnosić swój wkład w walkę z tymi, którzy źle mówią o Rosji" - kokietuje Władimir Putin w 2017 r. w odpowiedzi na pytania o ingerencję Kremla w amerykańskie wybory w 2016 r.
Już wtedy Rosja ma jedną z największych cyberarmii na świecie - od kilku lat intensywnie rekrutuje i szkoli młodych informatyków i programistów. Szybko zasilają oni szeregi cywilnych i wojskowych służb, w tym GRU i Służby Wywiadu Zagranicznego (SWR). Kolejne akcje i cyberataki, których tropy prowadzą do Moskwy, są coraz bardziej spektakularne. Równolegle coraz bardziej zaawansowane operacje dezinformacyjne przeprowadzają pracownicy Internet Research Agency, czyli petersburskiej fabryki trolli.
W 2016 r. NATO ogłasza, że cyberprzestrzeń jest obszarem działań wojennych na równi z ziemią, wodą czy powietrzem. Rok później słowo fake news staje się słowem roku.
Za "dorobek" grupy APT28/Fancy Bear/Pawn Storm oficjalnie uznano:
- ataki na światową agencję antydopingową (WADA) oraz jej amerykański odpowiednik (USADA) oraz przynajmniej cztery inne instytucje zwalczające doping, z których wykradli i opublikowali wrażliwe informacje o zdrowiu blisko 250 sportowców z ok. 30 krajów - wzmacniając kremlowską narrację o niesprawiedliwej dyskwalifikacji kadry Rosji z Zimowych Igrzysk Olimpijskich w 2018. To wtedy GRU wykreowało personę "hacktywistów grupy Fancy Bear" do rozpowszechnienia informacji z zachowaniem pozorów "oddolnych" działań;
- udaremnioną przez holenderski wywiad próbę przeniknięcia do infrastruktury Organizacji ds. Zakazu Broni Chemicznej, badającej użycie broni chemicznej w Syrii oraz nowiczoka do otrucia Siergieja Skripala (2018), byłego agenta GRU, który współpracował z brytyjskimi służbami.
Oba ataki zostały na tyle dobrze udokumentowane, że w październiku 2018 Departament Sprawiedliwości USA wniósł akt oskarżenia przeciwko siedmiu funkcjonariuszom GRU zidentyfikowanym jako członkowie jednostki GRU 26165.
Osobną sprawę wytoczono w związku ze słynnym atakiem na kampanię Hillary Clinton - według śledczych, zaangażowane w nią było aż 12 osób z dwóch grup cyberszpiegowskich (Sandworm i APT/Fancy Bear).
Tzw. raport Muellera szczegółowo opisuje przebieg ataku będącego dziełem kilku grup. Operacja zaczęła się od zmasowanego ataku phishingowego przypuszczonego przez APT28 na członków Krajowego Komitetu Partii Demokratycznej, w którym najpierw doszło do wycieku 50 tys. maili Johna Podesty, szefa kampanii Hillary Clinton. Jednocześnie, dzięki lekkomyślnym ofiarom, hakerzy uzyskali dostęp do wewnętrznej sieci demokratów i wgrali na nią oprogramowanie przechwytujące wpisywany tekst i widok ekranu.
W tym samym czasie druga grupa - o której zaraz - kolportowała skradzione maile z pomocą specjalnie stworzonej strony DCLeaks, przekazując je mediom pod przykrywką fikcyjnej persony udającej hacktywistę - "Guccifer 2.0" udzielał nawet wywiadów.
Towarzysząca publikacji maili akcja dezinformacyjna - wykorzystująca oryginalne maile i fake newsy - kompromitowała kandydaturę Hillary Clinton.
Celem ataku były też służbowe maile Clinton - jednak atak odbił się od podwójnego zabezpieczenia. Przy okazji ujawniono, że Clinton w latach, w których pełniła funkcję sekretarza stanu USA, korespondencję w sprawach państwowych przekierowywała lub prowadziła ze swojego prywatnego adresu e-mail i prywatnego serwera. Szef FBI uznał te działania za "niebezpieczne" mimo zastosowania podwójnych zabezpieczeń. Ani Mateusz Morawiecki, ani Michał Dworczyk nie wyciągnęli z tego żadnych wniosków - pięć lat później zostali przyłapani na rządzeniu polskim państwem z prywatnej poczty.
Co ciekawe, dochodzenie po ataku na Clinton wykazało, że w tym samym czasie dostęp do serwerów demokratów miała też jeszcze inna (trzecia) rosyjska jednostka. Chodzi o Cosy Bear, wiązaną z SWR. Działo się to prawdopodobnie zupełnie niezależnie i z misją długoterminowego szpiegostwa.
W kontekście afery Dworczyka równie interesujące są ataki z długiej listy przypisywanej Fancy Bear przez różne firmy zajmujące się cyberbezpieczeństwem. Te ataki zyskały mniej publicznej uwagi.
W 2017 roku dokumenty wykradzione z konta dziennikarza Davida Sattera, krytycznego wobec Kremla, zostały uzupełnione o kompromitujące treści i udostępnione jako "wyciek". Satter okazał się ofiarą szerokiej operacji phishingowej, skierowanej do ponad 200 adresatów w 39 krajach.
Grupie APT28/Fancy Bear przypisywana jest też próba ingerencji we francuskie wybory w roku 2017. Doszło wówczas, na dwa dni przed wyborami, do wycieku 20 tysięcy maili związanych z kampanią Emmanuela Macrona. Dokumenty zostały umieszczone na PasteBinie (usłudze umożliwiającej anonimowe udostępnianie surowych tekstów za pomocą linka), jednak operacja poniosła klęskę: ogromna ilość informacji udostępniona tuż przed ciszą wyborczą nie przebiła się do mediów. Francuskie władze ogłosiły wówczas, że atak był "tak ogólny i prosty, że mógł go dokonać praktycznie każdy".
Wiele wskazuje jednak na to, że była to skomplikowana operacja. Według cytowanych przez "Le Monde" analityków, choć grupa APT28 rozpoczęła przygotowania do ataku w marcu 2017, porzuciła je w połowie kwietnia, a w jej miejsce weszła inna grupa - przez analityków nazywana Sandworm. Przypomnijmy: to właśnie grupa, która w 2016 miała odpowiadać za dystrybucję wykradzionych przez APT28/Fancy Bear maili z ataku na komitet demokratów.
W październiku 2020 Departament Sprawiedliwości USA ogłosił, że stawia zarzuty sześciu zidentyfikowanym z imienia i nazwiska hakerom tej grupy, będącym jednocześnie pracownikami jednostki nr 74455 GRU.
Poza wspólnymi z APT28/Fancy Bear atakami na kampanię Macrona czy Clinton grupa Sandworm odpowiadała za przeprowadzenie "w strategicznym interesie Rosji" takich ataków jak:
- ataki na ukraińskie elektrownie i sieci przesyłowe w latach 2015 i 2016;
- użycie na światową skalę niszczycielskiego malware (złośliwego oprogramowania) NotPetya, które szyfrowało i wymazywało dyski;
- sabotaż organizatorów Zimowych Igrzysk Olimpijskich w 2018 roku (z tych samych motywów, przez które APT28 doprowadziło do wycieku danych sportowców);
- phishing pracowników Organizacji ds. Zakazu Broni Chemicznej badającej użycie nowiczoka do otrucia Skripala - w tym samym roku, w którym funkcjonariusze jednostki 26165 GRU próbowali fizycznie "wpiąć się" do jej systemu.
Z lektury akt procesów agentów GRU zaangażowanych w działania grup APT28/Fancy Bear i Sandworm, a także z raportów firm analitycznych badających te grupy, wyłania się obraz szkatułkowych operacji, prowadzonych czasem samodzielnie, czasem w kooperacji, z użyciem wielu środków jednocześnie: m.in. masowych lub spersonalizowanych phishingów, instalowania złośliwego oprogramowania, posługiwania się w sieci wykradzionymi dokumentami, fikcyjnych person i fałszywych kont w mediach społecznościowych.
Akta te czyta się jak powieść sensacyjną - tam, gdzie hakerzy nie byli w stanie zdalnie dopaść ofiar, agenci GRU podróżowali na miejsce (od Lozanny po Rio de Janeiro), by fizycznie zhakować infrastrukturę swojego celu (np. wpiąć się do hotelowej sieci WiFi). Jednak podstawowym narzędziem ich działania pozostawał mało wyrafinowany phishing.
Firmy analityczne poświęciły dużo wysiłków próbom zrozumienia wzajemnej zależności obu grup. W wielu przypadkach nie można być do końca pewnym, jaki był podział celów i zadań. Co do zasady Sandworm była opisywana przez analityków jako grupa "bardziej wyspecjalizowana, interweniująca w operacjach wysokiego ryzyka, zwłaszcza gdy liczy się czas".
Rosyjski portal Insider w 2017 pisał natomiast o APT28/Fancy Bear: "[W przeciwieństwie do Sandworm], Fancy Bear działa raczej prymitywnie - rozsyłając masowe kampanie phishingowe, czekając, aż znajdzie się ktoś na tyle nieuważny, by kliknąć w link i udostępnić swoje hasło. Z reguły głównym zadaniem Fancy Bear było zdobycie dostępu do informacji, która potem była wykorzystywana do celów politycznych. Na przykład pozyskane dokumenty były często modyfikowane, dodawano do nich kompromitujące informacje, po czym umieszczano je na różnych serwisach należących do prokremlowskich 'aktywistów', a następnie promowano przez kremlowskie media i farmy trolli".
To, wobec czego panuje powszechna zgoda to to, że działalność obu grup (tj. APT28 i Sandworm) wymaga "stale pracującej dużej kadry dobrze wyszkolonych pracowników i poważnych środków finansowych, na które nie mogliby sobie pozwolić 'wolni strzelcy'" - jak podkreślał Insider. Z akt procesów agentów GRU wynika, że obie grupy miały bazę pod tym samym adresem w Moskwie - w budynku należącym do rosyjskiego ministerstwa obrony.
Czy UNC1151 to tylko zdolni, nijak związani, ale skrupulatni naśladowcy "szkoły GRU"? W cyberprzestępczym świecie, w którym grupy przykrywają swoje prawdziwe intencje operacjami typu false flag (Fancy Bear podszywało się np. pod ukraińskich hakerów lub zwolenników ISIS) wszystko jest możliwe, ale wydaje się mało prawdopodobne.
Wystarczy porównać ujawnione przez amerykańskich śledczych zasoby Fancy Bear i Sandworm ze skalą operacji, która obecnie toczy się w Polsce. Sama operacja przypisywana UNC1151 wymagała:
- stworzenia bazy ponad 4 tysięcy nieprzypadkowych potencjalnych ofiar, pozyskania ich prywatnych adresów e-mail, w wielu przypadkach - zebrania informacji np. o członkach ich rodzin;
- rejestracji kilkudziesięciu domen do samego działania w Polsce (a grupa operowała też w innych krajach);
- przeanalizowania zawartości skrzynek uzyskanych w wyniku (prawdopodobnego) pozyskania ponad 700 kont, uzyskania dostępu do powiązanych z nimi kont w mediach społecznościowych i prawdopodobnie przejrzenia również ich zawartości;
- według raportu Mandianta - również znajomości wytwarzania i wykorzystania złośliwego oprogramowania;
- a dodatkowo również zaplanowania i przeprowadzenia kampanii dezinformacyjnych ze znajomością specyfiki polskiego internetu i mediów.
Nie jest to psikus, który kilku freelancerów może przeprowadzić "z piwnicy".
Raport Mandianta stwierdza, że "na tę chwilę nie łączy działania UNC1151 z żadnymi wcześniej śledzonymi grupami". Jednak dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi ujawnił, iż niemieckie służby poinformowały komisję Bundestagu, że przypisują operację "Ghostwriter" do działań GRU.”
Jeśli zatem to nie grupa UNC1151 jak twierdzi ABW, zespół z SKW stoi za wyciekiem maili, to kto jest autorem wycieku? Kto go inspirował a kto na nim skorzystał. Jeśli chcesz się tego dowiedzieć przeczytaj część drugą tego artykułu.
