Cyberatak na maila Michała Dworczyka. Możliwy przebieg zdarzeń
Przez dziewięć miesięcy hakerzy mogli mieć dostęp do skrzynki mailowej Michała Dworczyka. Pierwszy raz włamali się na nią 22 września - przekazała "Rz". Jak ustaliła gazeta, cyberprzestępcy mogli wyłudzić login i hasło za pomocą tzw. phisingu, a wszystko wyszło na jaw dopiero, gdy na serwisie Telegram pojawiły się pierwsze publikacje.
Według dziennika, cyberprzestępcom udało się pozyskać login i hasło do skrzynki Dworczyka na wp.pl poprzez oszustwo phishingu - infekując pocztę ministra fałszywym oprogramowaniem, które "otworzyło" dostęp do komputera.
Jak ustaliła "Rzeczpospolita", pierwsza udana próba miała miejsce 22 września ubiegłego roku. Potem takich wejść było co najmniej kilka.
ZOBACZ: Polska była obiektem cyberoperacji "Ghostwriter"? Firma ds. cyberbezpieczeństwa potwierdza
"Wejście na facebookowe konto żony ministra, od którego zaczęła się »afera mailowa«, było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła – hakerzy uzyskali bowiem poprawne dane, jakich używał minister" - wyjaśnił dziennik.
Jego zdaniem, to dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania – takiego incydentu nie odnotowano. "Sprawa wyszła na jaw, dopiero kiedy ukradzione materiały zaczęły być publikowane. Ukradzione Dworczykowi maile z prywatnej poczty są publikowane od 8 czerwca na rosyjskim komunikatorze Telegram" - czytamy w "Rz".
Ataki na Dworczyka i posłów PiS są powiązane
Zdaniem gazety, ABW i SKW ustaliły, że wejść hakerów do poczty Dworczyka było kilka. Poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra.
"Według służb, sprawa Dworczyka, podobnie jak wcześniejsze ataki na konta posłów PiS, m.in. Arkadiusza Czartoryskiego czy Joanny Borowiak, miały miejsce w tym samym czasie i dokonała tego ta sama grupa cyberszpiegów – UNC1151 w ramach operacji »Ghostwriter«, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej" - dodał dziennik.
ZOBACZ: Premier Mateusz Morawiecki: Rada Europejska bardzo mocno potępiła ataki hakerskie na Polskę
Zdaniem ekspertów od cyberprzestępczości, "Ghostwriter" działa w "interesie Rosji", ale - jak zauważa "Rz" - "dotychczas nikt nie pokusił się o konkretne nazwiska osób, które za tym stoją".
Według rozmówców gazety, którzy znają kulisy sprawy Dworczyka, służby mają już konkretne ustalenia – i dlatego nie obawiają się sformułowań, że grupa o nazwie UNC1151 jest "powiązana ze służbami specjalnymi Rosji".
Bez komentarza z kancelarii premiera
Jak zaznaczono, poczta Dworczyka zawierała setki maili. Dotychczas ujawniono kilka. "Część z nich jest publikowana w sprokurowanych formach, np. doklejane są osoby, które miały być w grupie korespondencyjnej, lub dopisywane są akapity. Kancelaria Premiera i sam Dworczyk nie komentują tych informacji. Czy PiS boi się, co było na prywatnej poczcie szefa KPRM, a co może jeszcze wypłynąć?" - zastanawia się dziennik.
- Było tam wiele informacji o Rosji. Omawiano np. szczegóły wystąpień, stanowisk rządu – mówi źródło "Rz".
Cyberprzestępcy nie złamali dostępu do domeny gov.pl nikogo z ministrów, co ma być dowodem na to, że są one dobrze chronione.
"Oficjalnie KPRM tłumaczy fakt przesyłania służbowej korespondencji na prywatną okresem pandemii, która spowodowała, że wielu urzędników administracji publicznej pracowało z domu. To tylko pół prawdy – służbowe smartfony, laptopy i tablety mają bowiem możliwość pracy z serwerami gov.pl." - podsumowała "Rzeczpospolita".
Czytaj więcej