Amerykańska firma Mandiant zajmująca się cyberbezpieczeństwem ujawniła w swoim najnowszym raporcie kto prawdopodobnie stoi za wyciekiem maili ze skrzynki szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Nieskategoryzowana Grupa 1151, jak została ona oznaczona, to hakerzy powiązani z Białorusią.

Przypomnijmy: we wtorek 8 czerwca 2021 roku ukazała się informacja o włamaniu na prywatną skrzynkę szefa KPRM Michała Dworczyka. Hakerzy rozpoczęli publikację domniemanej korespondencji z różnymi politykami i osobami z życia publicznego. Jak podkreślił Dworczyk, „w skrzynce mailowej będącej przedmiotem ataku hackerskiego nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny lub ściśle tajny”. Nie ma także pewności, które z maili publikowanych w serwisie Telegram są prawdziwe, a które to zręczne fałszywki, mające rozsiewać dezinformację i wywoływać sensację. W swoim oświadczeniu zaraz po ujawnieniu wycieku szef KPRM zaznaczył ten fakt: „Zważywszy na to, że informacje zostały opublikowane w rosyjskim serwisie społecznościowym Telegram oraz fakt, że przez 11 lat miałem zakaz wjazdu na teren Białorusi i Rosji jako osoba aktywnie wspierająca przemiany demokratyczne na terenie byłego ZSRR, traktuję ten atak jako jeden z elementów szeroko zakrojonych działań dezinformacyjnych zawierających sfałszowane i zmanipulowane informacje”.

Nie ulega wątpliwości, że kampania ta jest dosyć skuteczna, bo prawie pół roku później nowe domniemane maile ze skrzynki Dworczyka rozpalają wciąż opinię publiczną. Przykładowo w dniu ukazania się raportu Mandiant pojawiła się informacja, że Michał Dworczyk w mailu do premiera Mateusza Morawieckiego miał krytycznie i pogardliwie wypowiedzieć się o jednej z europosłanek Prawa i Sprawiedliwości. Jednocześnie rząd konsekwentnie nie komentuje nowych publikacji na ten temat.

Raport Mandiant stwierdza, że bezpośrednie dowody przemawiają za tym, że UNC1151 jest powiązana z białoruskim reżimem Aleksandra Łukaszenki. Liczne źródła Mandiant, jak również obserwacja wskazuje na lokalizację hackerów na terytorium Białorusi i powiązania z białoruskim wojskiem. Dodatkowo dowodem na reżimowy charakter zlecenia ataku jest aspekt ekonomiczny – wykradzione dane nigdy nie zostały zaoferowane do sprzedaży.

Jednocześnie amerykańscy eksperci podkreślili, że nie ma jasnych przesłanek wskazujących na powiązania tej grupy hackerów z Rosją. Nie da się tego całkowicie wykluczyć, jednak powiązania te z pewnością nie są tak bezpośrednie, jak te z Białorusią. Wcześniej na rosyjskie autorstwo tej operacji wskazywało wiele osób, w tym szef Służby Działań Zewnętrznych UE Josep Borell. Należy jednak podkreślić, że działania te wpisują się w szerszy kontekst działań hybrydowych przeciwko państwom Zachodu, podejmowanych przez Rosję i Białoruś. Powiązania między Moskwą i Mińskiem są oczywiste, można więc z dużym prawdopodobieństwem założyć, że także tego typu operacje są w jakiś sposób uzgadniane lub koordynowane.

Operacja pierwotnie wymierzona była głównie w obecność wojsk NATO na jej wschodniej flance, jednak od 2020 roku widać wyraźnie zmianę kierunku w stronę tematyki białoruskiej – głównie są to ataki przeciwko opozycji.

Według ustaleń firmy od 2016 roku UNC1151 wzięła za cel szereg podmiotów prywatnych i publicznych przede wszystkim z terenu Polski, Ukrainy, Litwy, Łotwy i Niemiec. Przed 2020 rokiem celami grupy stali się także białoruscy opozycjoniści, z których część została aresztowana po fali protestów po sfałszowanych wyborach prezydenckich. Ataki phishingowe (wyłudzenia dostępów, najczęściej za pomocą sfałszowanych stron logowania popularnych portali lub maili podszywających się pod pochodzące od zespołów bezpieczeństwa, np. banków) były dobrze wymierzone, przede wszystkim w konkretne instytucje zajmujące się obszarem postsowieckim. Co ciekawe, w 2019 wśród 33 odbiorców wiadomości phishingowych oprócz osób z Polski, Litwy, Łotwy i Ukrainy znaleźli się także przedstawiciele rządów Szwajcarii i Irlandii i kolumbijskiego Ministerstwa Obrony Narodowej – państw, które nie są w oczywisty sposób w sferze zainteresowań reżimu Łukaszenki. Główne cele to jednak wciąż bezpośredni sąsiedzi Białorusi.

PMB

Źródła:

Mandiant

TVN24

Polsat News

Przypominamy, że za pomocą darmowego narzędzia, jakim jest Tłumacz Google (Google Translate), możliwe jest przetłumaczenie tego tekstu na ponad 100 języków.