We wtorek rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn podał, że za niedawnym atakiem socjotechnicznym na polskich polityków i wyciekiem ich e-maili stoi związana z rosyjskimi służbami grupa UNC1151, która prowadzi szerszą operację destabilizacji państw regionu nazwaną "Ghostwriter". Grupę tę jako pierwsza zidentyfikowała amerykańska firma zajmująca się cyberbezpieczeństwem Mandiant Intelligence, należąca do grupy FireEye, która również dała nazwę operacji. Jak powiedział we wtorek dyrektor ds. analiz Mandiant Intelligence Ben Read, firma "odkryła liczne operacje grupy UNC1151 przeciwko polskim podmiotom". "Narracje krytyczne wobec NATO" - Oceniamy, że te intruzje są związane z operacjami informacyjnymi Ghostwriter w Polsce - powiedział. Jak zaznaczył jednak ekspert, ośrodek nie zgromadził do tej pory wystarczających dowodów, by przypisać atak konkretnemu państwu. Jednocześnie w ocenie Mandiant grupa UNC1151 jest związana z obcym państwem. Po raz pierwszy wzmianki o operacji "Ghostwriter" pojawiły się w raporcie firmy z lipca 2020 roku. Analitycy pisali wówczas, że jest to operacja wpływu, mająca na celu promowanie narracji krytycznych wobec NATO, głównie na Litwie, Łotwie i Polsce. W jej ramach nieznana dotąd jednostka nazwana UNC1151, za którą - jak podejrzewano - stało obce państwo, prowadziło kampanię polegającą m.in. na publikowaniu i rozsyłaniu fałszywych artykułów opublikowanych po włamaniu na strony portali, m.in. na temat rzekomych przygotowań NATO do wojny z Rosją. Włamania na konta W kolejnym raporcie, z kwietnia 2021 r., firma oceniła, że działalność jednostki jest szersza niż wcześniej podejrzewano. Przypisano jej m.in. włamania na konta na Twitterze i Facebooka należące do polityków Zjednoczonej Prawicy, w tym posłów Marka Suskiego i minister Marleny Maląg. Mandiant stwierdził wówczas, że główne wysiłki w ramach "Ghostwritera" skupiały się w późniejszym czasie nie na NATO, lecz na kreowaniu podziałów wewnątrz koalicji rządzącej w Polsce oraz w polskim społeczeństwie. "Narracje promowane w pięciu operacjach (włamań na konta polityków ZP - red.) zdają się prezentować skoordynowany wysiłek, by zdyskredytować koalicję rządzącą, poszerzyć istniejące podziały polityczne i promować obraz niezgody w koalicji" - pisała w kwietniowym raporcie firma. Włamań na konta dokonano za pomocą phishingu, tj. wysyłania e-maili podszywających się pod znane portale czy np. banki, zachęcających adresatów do klikania w zainfekowane linki. Poza polskimi politykami celem takich ataków socjotechnicznych były także wojskowe i rządowe podmioty oraz media w państwach bałtyckich i na Ukrainie, a później także politycy w Niemczech i m.in. znany białoruski bloger opozycyjny. Łącznie w raporcie odnotowano 34 incydenty powiązane z "Ghostwriterem" na przestrzeni ostatnich pięciu lat. W wielu przypadkach hakerzy używali kont polityków i osób publicznych, do których uzyskali dostęp, do rozprzestrzeniania fałszywych artykułów, np. mówiących o szajce zajmującej się prostytucją z udziałem przedstawicieli polskich i litewskich władz oraz amerykańskich wojskowych. Ataki w Niemczech Mandiant stwierdził, że nie wszystkie z wymienionych incydentów dało się bezspornie przypisać UNC1151, lecz ma wysoki stopień pewności, że grupa stoi przynajmniej za częścią z nich. "Der Spiegel" podawał w marcu, że w ramach akcji "Ghostwriter" zaatakowanych zostało 7 członków Bundestagu i ponad 70 posłów do parlamentów niemieckich krajów związkowych. Według źródeł gazety w niemieckich służbach była to pierwsza duża akcja tej grupy w Europie Zachodniej. Atak postawił na nogi niemieckie służby, bo we wrześniu w Niemczech odbędą się wybory do Bundestagu. Atakowali od miesięcy Dziennik "Tagesspiegel" informował, że według poufnego raportu federalnego MSW sporządzonego na posiedzenie konferencji ministrów spraw wewnętrznych "możliwe są różne działania hybrydowe wymierzone w interesy Niemiec, które mogą zakłócić spójność społeczną, zaufanie do instytucji państwowych, kształtowanie woli politycznej, a także procesy wyborcze". "Służby wywiadowcze Federacji Rosyjskiej w szczególności wykorzystują (strategię) 'hack and leak'" - ostrzega Federalny Urząd Ochrony Konstytucji (BfV), czyli niemiecki kontrwywiad, w poufnym "Specjalnym raporcie sytuacyjnym o zagrożeniach i potencjalnych ryzykach, szczególnie ze strony ekstremistów i obcych służb". "Hack and leak" odnosi się do cyberataków, "w których dane są przechwytywane z komputera ofiary, a następnie publikowane w ukierunkowany i zmanipulowany sposób" - wyjaśnia "Tagesspiegel". "W specjalnym raporcie sytuacyjnym (BfV), jak i w raporcie MSW, wspomina się o machinacjach rosyjskich sił cybernetycznych, które amerykańska firma bezpieczeństwa Mandiant określa mianem operacji 'Ghostwriter'. Hakerzy od miesięcy dokonywali ataków phishingowych na prywatne konta posłów Bundestagu i parlamentów krajów związkowych". Litwa solidarna Litwa solidaryzuje się z Polską w związku z ostatnimi cyberatakami, ewidentnie powiązanymi z rosyjskimi podmiotami, sponsorowanymi przez państwo - przekazał w środę na Twitterze wydział komunikacji strategicznej litewskiego MSZ. "Cyberprzestrzeń nie jest placem zabaw, na którym nie obowiązują zasady i normy - takie szkodliwe działania, godzące w wartości demokratyczne, muszą mieć konsekwencje" - zaznaczono w tweecie. Na środę w Brukseli zaplanowano posiedzenie Rady Północnoatlantyckiej, najważniejszego organu decyzyjnego NATO, na którym ma zostać omówiona kwestia cyberataków na Polskę. "W Kwaterze Głównej NATO w Brukseli jest zainteresowanie sprawą cyberataków w Polsce. Ma to związek z szeregiem działań dezinformacyjnych i ataków cybernetycznych, prowadzonych prawdopodobnie przez Rosję, które zgłaszane były przez różne państwa Sojuszu w ostatnich miesiącach" - przekazało PAP źródło w Kwaterze Głównej Sojuszu w Brukseli. Oprócz sojuszników z NATO Polska poinformowała o szczegółach cyberataków również państwa UE, Komisję Europejską i Radę UE. Informacja została też przekazana ambasadorom USA, Kanady i Wielkiej Brytanii.