Biały Wywiad. Afera Mailowa.
Kiedy masz świadomość że to Ty pierwszy wykryłeś aferę , nie ujawniłeś się z tym natychmiast w mediach społecznościowych , nie pokazujesz na Twitterze że się tym tematem w najmniejszym nawet stopniu interesujesz , czujesz że nikt kogoś być nie chciał , Ciebie \”nie będzie obserwować\” choć kontrolujesz każdego nowego Followersa a jedynie mogąc \”obserwować\” dziennikarzy którzy o tym piszą oraz hasztagi z tą sprawą związane a do tego masz pewną operacyjną \”wiedzę\”, posiadasz \”lewe\” konta z IP w innym kraju niż Polska i do tego \”invisible\” poprzez wykorzystanie dobrego VPN , posługujesz się \”wirtualnym\” pulpitem oraz przynajmniej przeglądarką \”Duck Duck Go\” , to masz realną szansę mieć choć niewielką ale jednak , przewagę nad hakerami pracującymi dla jednego lub wielu wywiadów. Trzeba bowiem mieć pełną świadomość i nie można tego wykluczyć że oprócz białoruskich czy rosyjskich służb specjalnych na tą \”sprawę\” mogą też \”patrzeć\” pod kątem wykorzystania \”operacyjnego\” również hakerzy chińscy, północno-koreańscy czy z krajów Bliskiego Wschodu a nawet Iranu. Baza danych która wynika z operacji jednych służb staje się również zródłem informacji o Polsce , jej systemach cyberbezpieczeństwa również dla służb specjalnych innych krajów a zewnętrznych wrogów zamiast nam ubywać to niestety -przybywa. Mając na bieżąco informacje z mediów polskich i zagranicznych , możesz w \”cieniu\” prowadzić swój prywatny research , analizy i śledztwo , sprawdzając dokładnie każdą nawet najmniejszą informację.
\”Krowa która dużo ryczy, mało mleka \”daje\”. Ta dewiza jest nie tylko moją \”osintową\” mądrością . Jest jeszcze motto: \”Kowal zawinił , Cygana powieszą \” choć na te motto w tym ,konkretnym przypadku , trzeba inaczej \”spojrzeć\”. Wszyscy wcześniej pisali ,robili analizy dotyczące afery związanej z wykradzeniem maili ,ja spokojnie czekałem zbierając informacje ponieważ nie piszę w jakiejś sprawie tuzinów płatnych blogów czy artykułów / stając się niechcąco ale jednak \”słupem ogłoszeniowo-reklamowym\” dla hakerów /ale jeden potężny w swej zawartości graficzno-dokumentalnej treści , darmowy blog z cyklu BIAŁY WYWIAD lub AKADEMIA WYWIADU.
Powiem tak: właściwe \”organy\” Państwa / ABW,SKW / bardzo szybko dowiedziały się \”who is who \” a otrzymawszy informacje już nie miały żadnego interesu aby sprawę nagłośnić zwłaszcza że polski \”wątek\” dotyka szeroko pojętego środowiska politycznego obozu władzy dlatego widzieliśmy te enigmatyczne komunikaty historyka Żaryna któremu ktoś wcześniej zrobił krzywdę – robiąc go \”rzecznikiem\”. Skoro ja tylko po jednym ale bardzo konkretnym z artykułów w Onecie doszedłem do takich a nie innych wniosków to jak szybko musiały dojść służby mając odpowiednie zaplecze technologiczno-informatyczne i ogromne możliwości \”operacyjnego researchu\” ? Dziennikarzom też łatwiej było napisać \”analizy za analizami\” bo raz że otrzymywali wynagrodzenie i pieniądze za płatne artykuły a dwa że nie musieli się władzy narażać, pisząc od samego początku że za aferą mogą nie stać tylko białoruscy i rosyjscy hakerzy a jeszcze ktoś kto chce na \”jednym ogniu upiec dwie pieczenie\” sam pozostając w \”cieniu\”…
Ja natomiast jestem blogerem którego research i pisanie jest darmową pasją a nie sposobem na życie i to mnie wyróżnia od \”analityków\” za pieniądze. Jedynymi wyjątkami była szpiegowska seria promująca książki #OperacjaRetea, #OperacjaSinge ,#OperacjaRafael , książka \”Plac Senacki 6PM \”czy też blogi o rosyjskich PMC zakończone blogiem analizującym na podstawie raportu kanadyjskiej analityczki , Candance Rondeaux współpracującej z CSIS ale one też były darmowymi a ja jako bloger miałem jedynie zaszczyt móc promować książki czy też raport dr Rondeaux. Afera którą moi rodacy się emocjonowali nie ma swoich \”korzeni\” od dnia 8.06.2021 kiedy ujawniono wyciek ale naprawdę dużo wcześniej. W wrześniu 2020 roku, powstaje bowiem obszerny, niezwykle ważny raport przygotowany przez FBI dla amerykańskiego Departamentu Sprawiedliwości -analiza \”Lakhta Project\”.
Co zawiera ten raport ?
👇
Russian Project Lakhta Member Charged with Wire Fraud Conspiracy | OPA | Department of Justice
Wielu internautów szczególnie na Twitterze pyta się mnie czasami o \”wiedzę\”. Odpowiadając im piszę że \”dużo czytam\” ale nie mam na myśli tylko książek polskich ale przede wszystkim takie właśnie dokumenty . Mam zresztą sporą domową \”biblioteczkę\” umiejscowioną nie w komputerze a ze względu ich cyfrowej pojemności na mobilnych dyskach , różnych analiz w plikach PDF i to w kilku również w dość \”egzotycznych\” językach.
Powyższy raport FBI pochodzi z 2020 r. \”Wrzucałem\” go jako researcher na Twittera ale w Polsce nikt go nawet nie zauważył na moim TL / Time Line/ . Śmieję się w duchu z niektórych moich Followersów że mnie \”obserwują\” ale i tak nic \”nie widzą\” ale jednak widzą to dziennikarze czy analitycy amerykańscy czy brytyjscy związani z służbami specjalnymi i dlatego czasami mam takich \”Followersów\” których nazwiska nikomu nic nie powiedzą na polskim Twitterze ,choć mogę się założyć że \”obserwują\” mnie przedstawiciele praktycznie wszystkich najważniejszych służb specjalnych z całego świata. Czasami więc trzeba uważać co się \”wrzuca\”……
Wracając do tematu i znając ten raport FBI można zupełnie innym okiem \”patrzeć\” na niestety ,\”wielopoziomową\”, wspólną działalność rosyjskich cyberprzestępców i rosyjskich wywiadów SWR /SVR/ oraz GRU. Jest więc nie tylko dezinformacja ale towarzyszy jej ukryta, dywersja psychologiczna.
\”Ty masz \”zobaczyć\” tylko to co my – celowo chcemy tobie \”pokazać\” abyś poszedł tylko tą \”drogą\” którą my ci wskażemy\”.
Kiedy masz choćby podstawową wiedzę dotyczącą dywersji psychologicznej to na każdą taką aferę \”patrzysz\” zupełnie innym, pozbawionym emocji ,\”chłodnym okiem\”. W internecie toczy się brutalna wojna z Rosją oraz z Chinami a sieć jest przysłowiowa jak \”góra lodowa\” której 1/4 \”widzi\” Titanic czyli zwykli internauci ,natomiast tak naprawdę aż 3/4 jego jest ukryte pod powierzchnią. To tzw \”dark net\”. Na wojnie musisz zachowywać się i myśleć jak żołnierz z wszystkimi zasadami dotyczącymi wojny. \”Medialnie\” więc milcząc na Twitterze i Facebooku oraz z względów swojego bezpieczeństwa , będąc zawsze odpowiednio \”uzbrojony\” tak jak pisałem na wstępie ,korzystając dodatkowo z \”lewych\” kont ,zachowując wymaganą ostrożność – przede wszystkim obowiązkowo \”wirtualny pulpit\” ,obowiązkowo przeglądarka DuckDuck Go lub podobna a w \”pewnych\” przypadkach – \”cebulka\” TOR :), szyfrowanie VPN , ,etc ,\”obserwowałem\” od jakiegoś czasu pewne konta w polskich mediach społecznościowych analizując ich interakcje, aktywność, kontakty choć nie chwaliłem się i dalej tego nie robię na swoich kontach w mediach społecznościowych. Zasada jeszcze z czasów wojen że \”WRÓG PODSŁUCHUJE \” nic nie straciła na swej aktualności.
Wszystko zaczęło się od kobiety . Mogę zdradzić że jedną z moich technik jest prowadzenie na moim koncie na Twitterze tzw \”list tematów\” . Nawet jeśli \”obserwuję\” na przykład tysiąc kont to razem z listami de facto \”widzę\” -5 lub \”więcej\” razy tyle . Wśród moich \”zainteresowań\” jest też polityka zagraniczna a że moi poważni Followersi na Twitterze mają medialne interakcje z różnymi kontami więc i ja w tzw \”powiadomieniach\” otrzymuję czasami przypadkiem różne informacje. Tak było w przypadku tego konta a wszystko zaczęło się od 28.05.2021 kiedy zupełnie przypadkowo przeglądając konta byłej Premier Beaty Szydło i europosła Tomasza Poręby zobaczyłem dziwne tweety wysyłane z poniższego konta
8.06.2021 pokazał mi się
Jeden \”lajk\” , żadnych interakcji…zrobiłem szybki research tego konta i co się okazało że do 26.02.2021 to konto było prowadzone normalnie a pózniej zaczęły dziać się na nim -cuda..
Nie ulegało dla mnie żadnej wątpliwości że to konto zostało zhakowane 8.06.2021 ale swoje tweety -haker lub hakerzy powstawiali do wszystkich tweetów od 28.05.2021 ..
Od 28.05.2021 do każdego tweeta na tym koncie \”dołączono\” więc tweet z informacją o zhakowaniu skrzynki ministra Michała Dworczyka. Aby uzyskać więcej informacji musiałem zrobić research konta aż do jego początku.
Okazało się że na profilu p. \”Katarzyna Kozon\” swoje artykuły publikuje p. Katarzyna Klimaszewska związana nie tylko z Portalem Spraw Zagranicznych ale między innymi z Kołem Naukowym Amerykanistyki UKSW
Inny tweet
Skoro z Twittera jest \”odesłanie\” na konto na Facebooku to przyjąłem to \”wirtualne\” zaproszenie i udałem się na Facebooka…
Jakież było moje zdziwienie kiedy zobaczyłem taki post z 23.06.2021 a więc dwa tygodnie po zhakowaniu poczty ministra Dworczyka.
Niestety w pewnym momencie ich progresywne działania spowodowały że w dniu 8.06.2021 o godzinie 20:33 / niebieska linia / de facto napisałem wymuszonego tweeta którego po tzw \”dobrej radzie\” tak szybko skasowałem że nawet śledczy dziennikarze portalu \”KONKRET 24 \” próbując w poniższym artykule ustalić kto był tym \”pierwszym\” , wskazali na innego internautę , mojego nie doszukali się 🙂
👇
Czasami jednak dobrze pracować w \”cieniu\”
👇….
Tweet ma być nie tylko informacją ale też sygnałem dla kogoś.
Specjalnie więc chcąc \”podprogowo\” spowodować szybką reakcję odpowiednich służb , użyłem w tweecie -hasztaga #ABW . Reakcja była natychmiastowa.
Ze zrozumiałych względów i to nie chodzi tylko o ustawę o ochronie danych osobowych ale też bezpieczeństwa , specjalnie zamazałem dane personalne eksperta bezpieczeństwa który mogę to w \”ciemno\” napisać ,przynajmniej współpracuje z Agencją Bezpieczeństwa Wewnętrznego . Nasza półgodzinna \”rozmowa\” była krótka i skończyła się o godzinie 21:11 / zielona linia / .
Jako jeden z pierwszych o godzinie 21:58 informację o zhakowaniu konta na Facebooku żony ministra Dworczyka , poinformował jeszcze wieczorem 8.06.2021 portal ONET.PL.
👇
Onet: Włamanie do prywatnej skrzynki Michała Dworczyka. Wyciekły tajne dokumenty (msn.com)
Zaskoczony jestem że wszyscy interesujący się tą sprawą już na samym jej początku przeszli w zasadzie bez żadnej choćby pobieżnej analizy nad postem który pojawił się na koncie na Facebooku żony ministra –Agnieszki Dworczyk.
Pierwsze dwa zdania z tego posta wymagają naszego komentarza :
\”SKRZYNKA MAILOWA MOJEGO MĘŻA MICHAŁA DWORCZYKA ZOSTAŁA ZHAKOWANA , UTRACONY DOSTĘP DO KONTA NA FACEBOOKU MICHAŁ DWORCZYK. Z PRZYKROŚCIĄ MUSZĘ POINFORMOWAĆ , ŻE MOJA SKRZYNKA E-MAIL ZOSTAŁA ZHAKOWANA PRZEZ NIEZNANE OSOBY \”.
Pierwsze zdanie jest de facto oświadczeniem hakera lub hakerów a drugie ma wyglądać jakby to było oświadczenie żony ministra ale skąd wiadomo czy to konto na Facebooku zhakował akurat jeden haker czy była to grupa hakerów ? Pomijając konto na Facebooku ministra Dworczyka to nasuwa się też pytanie w jaki sposób poprzez konto żony ministra zostało przede wszystkim zhakowane konto mailowe jej męża ? Moja żona ma też konto na Facebooku ale nawet w przypadku jego zhakowania i wrogiego \”przejęcia\” to żaden nawet nie wiem jak dobry haker nie znajdzie tam żadnej informacji o moim koncie a tym bardziej żadnej możliwości \”dojścia\” przez konto małżonki do loginu i haseł do mojej poczty nawet jakby ona była na Interii, Wirtualnej Polsce czy Onecie…. W najgorszej opcji zakładam więc że były to \”równoległe\” akcje hakerów a kiedy przejęto pocztę mailową oraz konto na Facebooku ministra to z konta na tym portalu społecznościowym jego małżonki zrobiono sobie jedynie -słup ogłoszeniowy….
Redaktor Anna Mierzyńska w jednej z swoich licznych analiz odnosząc się do nazwisk tak napisała o jednym z największych na świecie \”wycieków z kont loginów i haseł zwanym w środowisku IT jako COMB21 z 2.02.2021 /RockYou2021 / wśród których znalazło się też wiele polskich kont.
Jednak pierwsza informacja z 08.06.2021 \”wyszła\” od hakerów z konta na Facebooku żony ministra Dworczyka chyba że to było hakerskie \”zmylenie przeciwnika\”….
Zdawając sobie sprawę że hakerzy aby dostosować i kontrolować co ma \”wyciekać \”w planowanej kolejności muszą z całą pewnością \”obserwować\” wszystkie hasztagi / #maileDworczyka , #aferamailowa #Dworczyk #DworczykGate i #DworczykLeaks / które powstały po 8.06.2021 , komentarze internautów, polityków czy dziennikarzy a zwłaszcza ich analizy wycieku postanowiłem milczeć w tej sprawie . Należy założyć że hakerzy udostępnią tylko te informacje które będą chcieli nam udostępnić a do tego w zaplanowanej kolejności i nie można zakładać że się pomylą i cokolwiek ujawnią ale mimo to korzystając z narzędzi ,należy analizować pod względem uzyskania chociaż jakichkolwiek możliwych dostępnych metadanych które pozwolą na analizę wycieku.
9.06.2021. \”Poufna Rozmowa\” .Godzina 10:03
Aby chociaż spróbować \”dojść\” do zródła wycieku trzeba niestety \”myśleć\” jak haker .Można więc założyć w \”ciemno\” że pierwsze co hakerzy czytają to są jakiekolwiek analizy robione przez ekspertów i analityków przez nich zrobionego \”wycieku\” a dopiero potem komentarze polityków czy artykuły dziennikarzy śledczych . Drugą analizę ale pierwszą ciekawą dla portalu OKO PRESS która mogła zainteresować hakerów ,zrobiła analizująca media społecznościowe redaktor Anna Mierzyńska. To była dziennikarka Gazety Współczesnej , była też dyrektorka Biura Regionalnego Platformy Obywatelskiej w Białymstoku oraz była dyrektorka biura p. posła Roberta Tyszkiewicza który przypomnijmy w 2015 roku był szefem przegranej niestety , kampanii wyborczej Prezydenta Bronisława Komorowskiego . Słyszałem że napisała książkę o niszczącej dezinformacji….chętnie natomiast bym przeczytał jej książkę o przegranej w internecie kampanii prezydenckiej w 2015 roku bo mając wtedy aktywne konta w mediach społecznościowych do dziś nie mogę strawić goryczy porażki i upokorzenia oglądając tego jełopa…..
To była pierwsza dobra analiza z której można było dowiedzieć się że \”Poufną Rozmowę\” założono na kanale Telegram w dniu 4.06.2021. Wiedząc że od 28.05.2021 na koncie Katarzyny Kozon zaczęto dołączać tweet z informacją o zhakowaniu konta żony ministra Dworczyka to była dla mnie dość ważna informacja. Wtedy też było znane oświadczenie portalu Wirtualna Polska że nie odnotowano żadnych działań hakerów. Było oczywistym i logicznym w tym momencie że dostęp do poczty ministra na tym portalu mogły mieć tylko najbardziej zaufane osoby i tylko one znały hasła / login potrzebne do logowania lub konto przejęto w wyniku ataku pishingowego wykorzystując do tego , domeny łudząco podobne do domen z Wirtualnej Polski.
👇
Atak na Dworczyka to operacja wschodnich służb? To nie musi być prawda (oko.press)
Autorka sygnalizuje też w swym artykule opinie ekspertów którzy mają rację że maile mogą być \”zarażone\” i może być do nich \”podpięte\” różnego rodzaju internetowe \”robactwo\”. Tego nie można nigdy wykluczyć a żeby \”otworzyć\” takie maile od hakera to trzeba przede wszystkim wcześniej mieć odpowiednio \”wyposażony\” komputer, laptop lub tablet w aplikacje zabezpieczające choćby przed atakami typu spyware.
Metadane plików można oczywiście edytować a ponieważ pierwszymi \”czytelnikami\” takich analiz mogą być hakerzy to trzeba nie tylko uważać z wnioskami ale przede wszystkim poczekać na większą ilość informacji do analizy ponieważ trzeba założyć również to że hakerzy pokażą tylko to co chcą abyśmy \”zobaczyli \” również w metadanych.
8.06.2021
Redaktor Anna Gielewska i redaktor Konrad Szczygieł.
\”PRIWIET, ZOSTAŁEŚ ZHAKOWANY ! \”
👇
Cyberbezpieczeństwo. Jak hakerzy przejmują konta polityków i po co to robią – TVN24
Ktoś od miesięcy włamuje się do maili i na konta w mediach społecznościowych ministrów, posłów, dziennikarzy i żołnierzy. Do sieci trafiają półnagie zdjęcia radnych, sfingowane anonse na portalach z ogłoszeniami prostytutek i fake newsy o radioaktywnej chmurze znad Litwy. Co łączy te ataki? Tropy – jak ustalili dziennikarze Fundacji Reporterów, analizujący dezinformację w sieci – wiodą do hakerskiej grupy \”Ghostwriters\”, która realizuje rosyjskie cele. – Przejętych kont są już tysiące. To tykająca bomba – twierdzą źródła w polskich służbach specjalnych. Tekst redaktor Anny Gielewskiej i redaktora Konrada Szczygła / fragment/
To tylko kilka tytułów, które pojawiły się w ostatnich kilkunastu miesiącach na portalach i kontach w mediach społecznościowych, do których włamali się cyberprzestępcy.
Sfingowany tekst udostępniają również zhakowane konta dwóch lokalnych działaczy PiS: starosty garwolińskiego Mirosława Walickiego i Andrzeja Rochmińskiego, szefa lokalnych struktur partii w Zielonej Górze. I tym razem hakerzy – spodziewając się, że informacja szybko zniknie z oficjalnej strony PAA – na profilu facebookowym radnych umieszczają wpisy do archiwalnej wersji ogłoszenia na stronie PAA. Dzięki temu wieść o zagrożeniu radioaktywnym nadal jest dostępna dla obserwujących profil radnego. Dodatkowo konto Rochmińskiego udostępnia link na Twitterze, zaczepiając konta z dużą liczbą obserwujących, m.in. Katarzyny Lubnauer i Grzegorza Schetyny.
Gdy analizujemy publicznie dostępną zawartość konta żołnierki, naszą uwagę przykuwają jej fotografie ślubne. Analiza konta wskazuje, że jej mężem jest najprawdopodobniej żołnierz związany z misjami zagranicznymi, w tym – w przeszłości – z jednostką wojsk specjalnych z zachodniej Polski. Czy on także mógł być celem ataku? Dzwonimy do niego z pytaniem o włamanie na konto jego żony. Twierdzi, że to pomyłka i odrzuca połączenie. Chwilę później zmienia zawartość profilu na Facebooku – publiczne wcześniej zdjęcia z bohaterką tweetów Bernackiego, stają się niedostępne.
Podobna sytuacja powtórzyła się we wrześniu 2020 roku. Artykuł \”Polska i Litwa wzywają do wysłania wojsk na Białoruś\” został podłożony w portalu Związku Polaków na Białorusi, znadniemna.pl, w \”Poland Daily\”, a także na prawy.pl (artykuł wisi tam do dzisiaj). Fake news jest przerobioną kompilacją tekstu ze strony polskiego MSZ oraz tweeta ówczesnego litewskiego szefa dyplomacji Linasa Linkeviciusa o spotkaniu z liderką białoruskiej opozycji Swiatłaną Cichanouską.
Atak zbiegł się w czasie z masowymi protestami białoruskiej opozycji.
Według niezaleznej.pl atak został dokonany z Rygi, stolicy Łotwy. Na atak zareagowało litewskie MSZ: \”Po włamaniu do portalu polanddaily.com ukazał się fałszywy artykuł, w którym zarzucono ministrom spraw zagranicznych Litwy i Polski, że \’za zamkniętymi drzwiami\’ dyskutowali o wysłaniu sił pokojowych na Białoruś. Fałszywa informacja została również opublikowana na liveleak.com. Aby zwiększyć jego widoczność, sfałszowany list litewskiego MSZ o rzekomej rozmowie z polskim ministrem został wysłany do redakcji tygodnika \’The New Yorker\’ w USA\”.
Haker ma dwa sposoby
Od października 2020 r. polskie media odnotowały kilkanaście ataków z użyciem fałszywych wpisów na przejętych przez hakerów kontach. Ofiarą ataków padło przynajmniej 18 osób (m.in. Włodzimierz Bernacki, Tomasz Sakiewicz, Robert Pietryszyn, Marek Budzisz, a z niewymienionych wcześniej m.in. minister rodziny i polityki społecznej Marlena Maląg i Marek Surmacz, radny sejmiku wojewódzkiego i zastępca szefa GIOŚ).
Ale od naszych źródeł wiemy, że lista adresów mailowych, które były obiektem kampanii phishingowej, liczona jest w tysiącach. Hakerzy działają na dwa sposoby: albo wykorzystują świeżo złowione konto do ataku dezinformacyjnego, publikując na nim fałszywe treści, albo nie ujawniają się od razu, wyczekując na odpowiedni moment.
Trójgłowy smok (nie) ściga hakera
Kto w Polsce zajmuje się ochroną najważniejszych osób w państwie przed atakami w sieci? W teorii za cyberbezpieczeństwo odpowiada trójgłowy smok w postaci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. NASK (Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy) odpowiada m.in. za nadzór nad samorządami czy uczelniami publicznymi. GOV (prowadzony przez Agencję Bezpieczeństwa Wewnętrznego) odpowiada za ochronę m.in. administracji rządowej czy NBP. Ostatni zaś – MON (prowadzony przez resort obrony) zajmuje się ochroną w cyberprzestrzeni podmiotów podległych resortowi obrony, w tym Służby Kontrwywiadu Wojskowego. Cyberbezpieczeństwem zajmują się także \”pozostałości\” po resorcie cyfryzacji przeniesione do kancelarii premiera.
A jak to wygląda w praktyce?
– ABW niespecjalnie chce się tym zajmować – kwituje nasze źródło.
– A Służba Kontrwywiadu Wojskowego (podległa MON)? Biorąc pod uwagę, że w grę wchodzi operacja pośrednio związana ze służbami obcego państwa?
– Hehe. SKW? Please, bez komentarza.
Zapytaliśmy biuro prasowe ABW, czy seria cyberataków na polityków jest elementem kampanii dezinformacyjnej. Kto i w jaki sposób reaguje, gdy okazuje się, że członek rządu padł ofiarą ataku hakerskiego i przejęte zostało jego konto w social mediach albo mail?
\”Agencja Bezpieczeństwa Wewnętrznego nie komentuje sprawy\” – odpisał nam zespół prasowy ABW. O rozmowę na temat cyberbezpieczeństwa poprosiliśmy rzecznika koordynatora służb specjalnych Stanisława Żaryna, publikującego na stronach rządowych analizy dotyczące dezinformacji. Do momentu publikacji nie odpisał jednak na naszego maila.
Na pytanie, czy prokuratura prowadzi postępowania z zawiadomienia ABW lub innych służb dotyczące cyberataków na polityków, warszawska prokuratura odpowiedziała krótko: \”Nie ustalono postępowań spełniających kryterium zapytania\”.
Podobne pytania wysłaliśmy do kancelarii premiera. \”W ciągu 12 miesięcy zaobserwowano kilkadziesiąt ataków na prywatne konta poczty elektronicznej oraz prywatne konta w serwisach społecznościowych wykorzystywane przez osoby publiczne. Dokładna skala tych ataków nie jest znana, gdyż nie wszystkie z nich zostały zgłoszone przez osoby, które były ich celem\” – odpowiedział nam Wydział Promocji Polityki Cyfrowej Kancelarii Prezesa Rady Ministrów. \”Postępowania w przypadku zgłoszonych przez osoby poszkodowane ataków prowadzone są przez organy ścigania – prokuraturę i policję. KPRM nie posiada potwierdzonych informacji o źródłach ataków na polityków\”.
Według naszych rozmówców, tak duża i długofalowa operacja powinna zostać uznana za tzw. incydent krytyczny. Jednak mimo kilku spotkań ABW, KPRM i RCB [Rządowe Centrum Bezpieczeństwa] nie potraktowano jej na tyle poważnie.
Zamiast tego pełnomocnik rządu do spraw cyberbezpieczeństwa Marek Zagórski (były minister zlikwidowanego resortu cyfryzacji) wysłał w listopadzie 2020 roku pismo do marszałek Sejmu adresowane do klubów parlamentarnych o uruchomieniu skrzynki mailowej do obsługi zgłoszeń o atakach phishingowych. KPRM przygotowała też dla posłów kolorową broszurę o tym, jak bezpiecznie korzystać z internetu.
👇
JAK SIĘ CHRONIĆ PRZED CYBERATAKAMI – PORADNIK
Pierwsza wersja raportu Fundacji Reporterów, w języku angielskim, została opublikowana na portalu vsquare.org 30 marca. Dzień po tej publikacji niemiecki program informacyjny Tagesschau ujawnił wyniki badań ekspertów ds. cyberbezpieczeństwa z grupy Mandiant. Z ich ustaleń wynika, że w ramach tej samej akcji hakerów z \”Ghostwriters\”, wymierzonej w polskich polityków, zainfekowane wiadomości trafiały również do polityków z niemieckiego i ukraińskiego parlamentu\”.
Świetny analityczny artykuł pokazujący nie tylko szeroki pryzmat zainteresowania hakera lub czego nie można wykluczyć -grupy hakerów ale też jeden z najważniejszych elementów dywersji psychologicznej – ataki nie mają żadnych \”barw\” politycznych !
13.06.2021.
Anna Gielewska.
👇
Rząd zhakowany. “Siedzieliśmy na tykającej bombie. Właśnie wybuchła” (oko.press)
Mimo ostrzeżeń służb rząd zlekceważył zagrożenie atakami informatycznymi. Tymczasem hakerzy przez kilka miesięcy mogli mieć dostęp do skrzynki mailowej ministra Michała Dworczyka. Jego adres trafił na listę zaatakowanych kont już w styczniu. Tylko 1 na 300 czytających ten artykuł wspiera OKO finansowo. Wyobraź sobie co moglibyśmy osiągnąć, gdyby było nas 10 x więcej…
“Siedzieliśmy na tykającej bombie i ona właśnie wybuchła” – mówi jeden z naszych rozmówców ze służb.
Ostatni atak może być kolejną odsłoną olbrzymiej operacji dezinformacyjnej prowadzonej w interesie Rosji – zawiera jednak zupełnie nowe elementy niż poprzednie ataki, wymierzone w członków rządu i polityków PiS.
Hakerski atak na członka rządu to poważna sprawa. W każdym kraju członkowskim NATO taka akcja stawia na nogi służby cywilne i wojskowe, uruchamiane są procedury, które mają uchronić cały rząd przed dalszym wyciekiem informacji. Ale między 4 a 8 czerwca, gdy w Polsce rusza wielka operacja dezinformacyjna, a w komunikatorze Telegram pojawiają się dokumenty wykradzione z maila ministra Dworczyka, nie wiedzą o tym ani służby, ani sam bohater akcji – szef KPRM.
Tekst dziennikarzy Fundacji Reporterów.
Poufna Rozmowa
Piątek, 4 czerwca 2021 roku, 14:24. Na Telegramie – komunikatorze popularnym w krajach rosyjskojęzycznych – pojawia się tajemniczy wpis. „Wyciek informacji od Szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka” – pisze użytkownik Poufna Rozmowa.
Nie wiadomo, kim jest – ukrywa się za dziwacznym avatarem, fotografią dwóch psów w kołnierzach ochronnych. To samo zdjęcie można znaleźć w sieci m.in. na blogach i portalach poświęconych czworonogom.
Minutę później to samo konto udostępnia plik z wykazem polskich służb uprawnionych do szczepień przeciwko COVID-19. A w nim: dane kontaktowe do koordynatorów szczepień, m.in. z Agencji Bezpieczeństwa Wewnętrznego, Służb Wywiadu Wojskowego i Centralnego Biura Antykorupcyjnego.
Od tej chwili Poufna Rozmowa codziennie wrzucać będzie kolejne porcje dokumentów „reklamowanych” jako wykradzione z konta Dworczyka: wstępnych projektów ustaw oraz rządowych i wojskowych opracowań, a także screenów maili. Wszystko podane w sensacyjnym tonie – z emotikonami – ognikami i wybuchami i podkręcającymi emocje komentarzami.
Wpisy zamieszczane są w języku polskim, jednak można zauważyć kilka błędów gramatycznych – np. w jednym z wpisów pada sformułowanie: „Prawdziwy powód poparcia opozycji na Białorusi od Szefa Kancelarii”. To konstrukcja typowa dla języka rosyjskiego – zgodnie z polską gramatyką, zamiast „od” autor powinien napisać „przez”. W innym z wpisów pojawia się z kolei sformułowanie “tak rząd dba o Polakach” (zamiast Polaków). To może być poszlaka, choć jeszcze nie dowód, że za akcją stoją rosyjskojęzyczni hakerzy.
Przez cztery dni informacja o tym, że na kanale Telegram ktoś publikuje dokumenty rzekomo pochodzące z maila ministra Dworczyka, nie wydostaje się poza wąskie grono obserwujących kanał (dziś ma już ponad 1,7 tys. subskrybentów).
Wieczorem 8 czerwca na facebookowym koncie Agnieszki Dworczyk, żony ministra, pojawia się wpis o przejętym koncie jej męża. „Sprawcami zostały skradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi (oryginalna pisownia)” – czytamy w usuniętym już poście.
Wtedy operacja dezinformacyjna nabiera tempa. Fałszywy wpis z przejętego przez hakerów konta Agnieszki Dworczyk linkuje do dokumentów w kanale Poufna Rozmowa na Telegramie. Ma przyciągnąć uwagę i uwiarygadniać pliki, które się tam pojawią.
Sprawdziliśmy, w jaki sposób sfabrykowany wpis z przejętego konta Agnieszki Dworczyk rozchodził się w mediach społecznościowych. Okazuje się, że był to ruch wygenerowany w dużej mierze przez autentycznych użytkowników.
Pierwszy artykuł o „wycieku tajnych dokumentów” pojawił się 8 czerwca na stronie internetowej PolitycznaPolska.info. Strona publikuje treści w sensacyjnym tonie, z rejestru domen wynika, że została założona w styczniu 2020 roku przez Rafała Smagę. Smaga w rozmowie z nami wyjaśnia, że informację o włamaniu na konto Dworczyka jego portal zaczerpnął z Twittera, a ściślej – z konta Mirosława Szczerby, byłego rzecznika prezydenta Lecha Wałęsy. Szczerba rzeczywiście udostępnił wcześniej informację o wpisie na FB Agnieszki Dworczyk.
Smaga udostępnia tekst na PolitycznaPolska.info w kilku grupach na FB, gromadzących przeciwników PiS (narzędzie Crowdtangle do badania ruchu w internecie wskazuje, że to łącznie ponad 100 tys. użytkowników), w grupach w rodzaju Sympatycy Szkła Kontaktowego czy Ruch Ośmiu Gwiazd.
Z kolei na Twitterze ruch wokół wycieku początkowo usiłuje wprowadzić usunięte już anonimowe konto, następnie generują go już autentyczni użytkownicy. Grafikę z postem ze zhakowanego konta żony Dworczyka udostępnia np. konto o nazwie Marcin Koszela. Jego właściciel w rozmowie z nami wyjaśnia, że sam zrobił taką grafikę.
Późnym wieczorem 8 czerwca Onet podaje, że doszło do włamania na skrzynkę mailową szefa KPRM i wycieku dokumentów. W mediach rozpętuje się burza.
Co wiadomo o dokumentach?
Interesujące są metadane plików, które trafiły na kanał na rosyjskim Telegramie i od których zaczęła się operacja. Metadane to m.in. zaszyte w każdym pliku elektronicznym informacje o tym, kto i kiedy go utworzył.
Jeden z dokumentów – utworzony przez DOSR KPRM [Departament Oceny Skutków Regulacji w rządzie- red.] – modyfikowany był przez użytkownika o nazwie „blackmail” 3 listopada 2020 – w tym samym momencie, kiedy utworzono plik.
Z kolei CV szefa Rządowego Centrum Bezpieczeństwa płk Konrada Korpowskiego, które trafiło na Telegram, modyfikowane było przez użytkownika o nazwie „Montik!” 2 lutego 2021 roku.
To może oznaczać, że
- hakerzy mogli mieć wgląd w korespondencję ministra Dworczyka przez dłuższy czas (kilka miesięcy),
- część z dokumentów pochodzi z innego ataku lub ataków na konta Dworczyka (o tym, że jego email pojawiał się już wcześniej w kilku poważnych wyciekach, pisał portal niebezpiecznik.pl),
- dokumenty mogą pochodzić z innego źródła.
We właściwościach pliku z CV, słowo „nazwa” wyświetla się po rosyjsku.
O rosyjskich śladach w metadanych dokumentów jako pierwszy pisał białoruski kanał NEXTA. „Metadane wskazują na edycję przez obcojęzycznych użytkowników w rosyjskiej aplikacji. (…) Ciekawostką jest to, że w metadanych opublikowanych plików znalazły się rosyjskie symbole”.
Hipotetycznie ktoś mógł celowo edytować je tak, by sugerowały udział rosyjskojęzycznych użytkowników.
Jeden z dokumentów – wstępny projekt ustawy o rezerwach strategicznych – różni się jedynie drobnymi poprawkami od finalnie złożonego w trakcie procesu legislacyjnego. Projekt ustawy trafił do Sejmu 9 grudnia 2020, natomiast wersja dokumentu, który wyciekł na Telegram, datowana jest na 19 października 2020. Projekt ustawy pilotował Michał Dworczyk.
Do chwili naszej publikacji Centrum Informacyjne Rządu (CIR) nie potwierdziło ani nie zaprzeczyło, że ujawnione dokumenty pochodziły ze skrzynki mailowej Dworczyka. CIR nie odpowiedział też na nasze pytania o ich autentyczność.
Sam Dworczyk późnym popołudniem, w piątek 11 czerwca, wydał oświadczenie. Pisze w nim, że „część z ujawnionych informacji i rzekomych maili została spreparowana”. Minister przekonuje, że „odnoszenie się do poszczególnych wiadomości zamieszczanych na rosyjskiej platformie Telegram jest poważnym błędem, bo należy założyć, że celem prowadzonych wrogich działań jest m.in. zaangażowanie adresatów bądź nadawców wykradzionych informacji do potwierdzania lub zaprzeczania ich prawdziwości”.
Notatka służb na Berdyczów
Według naszych źródeł w służbach, prywatna skrzynka mailowa Dworczyka na portalu Wirtualna Polska znajdowała się na liście celów kampanii ataków phishingowych już w styczniu 2021.
Kulisy tej szeroko zakrojonej kampanii opisaliśmy w kwietniu na łamach TVN24.pl, a w wersji angielskiej – na portalu vsquare.org. Ujawniliśmy, że grupa hakerów mogła zdobyć olbrzymie ilości wrażliwych danych od kluczowych osób w państwie, a także posłów, analityków i dziennikarzy. Większość e-maili, które były celem ataków phishingowych, to skrzynki prywatne, głównie w domenach Wirtualnej Polski, ale także Interii i Onetu.
Nasi rozmówcy ze służb już wtedy bili na alarm: “Niefrasobliwość polityków, posłów, członków rządu w sprawie bezpieczeństwa cyfrowego jest niepojęta. Ilość wrażliwych informacji na niezabezpieczonych kontach jest żenująca. Te dane, które już mogły zostać przejęte, to może być w niedalekiej perspektywie krytyczny problem”.
Wykorzystanie danych kolejnych polityków było kwestią czasu.
W grudniu zebrał się w tej sprawie Zespół ds. Incydentów Krytycznych (stworzony przez RCB, Rządowe Centrum Bezpieczeństwa, komórkę odpowiedzialną za analizę zagrożeń i zarządzanie kryzysowe). Płk Konrad Koprowski, szef RCB, miał pytać wtedy przedstawicieli zespołu, czy hakerską operację uznać za incydent krytyczny. Jak wynika z naszych nieoficjalnych informacji, Służba Kontrwywiadu Wojskowego, a w ślad za nią pozostali członkowie zespołu uznali jednak, że nie ma takiej potrzeby.
Jak na ironię dziś CV płk. Koprowskiego z informacją o jego poświadczeniach bezpieczeństwa wisi na kanale Telegram (przypomnijmy – to w metadanych tego pliku są rosyjskojęzyczne ślady).
Mimo to, w styczniu KPRM opublikował internetowy poradnik dla posłów – jak chronić się przed podobnymi atakami. To kolorowa, 22 stronicowa broszura,w której omawiane są zasady bezpieczeństwa w Internecie. “Zrobili poradnik, ale w żaden sposób nie są w stanie wprowadzić w tej sprawie dyscypliny w rządzie, a tym bardziej w parlamencie czy u niższych rangą działaczy PiS” – wzdycha jeden z naszych rozmówców ze służb.
Jak ustaliliśmy na początku marca 2021 roku powstaje klauzulowana notatka podpisana przez CSiRT-y (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego MON, NASK i GOV). Zawiera ustalenia służb dotyczące hakerskich ataków prowadzonych przez grupę realizującą rosyjskie cele. Do notatki dołączony jest plan działań, m.in. wybór CERT ABW jako koordynującego działania w tej sprawie, a także propozycja „konsolidacji zgłoszonych przypadków krajowych na poziomie jednej śledczej jednostki prowadzącej”. Notatka mówi także o „organizacji procedury weryfikacji urządzeń, co do których istnieją podejrzenia, że są skompromitowane”.
Ale w ślad za notatką nie idą żadne działania. Pełnomocnik rządu ds. cyberbezpieczeństwa nie podejmuje żadnych nowych decyzji. Nikt nie wprowadza planu działań w życie. “KPRM zlekceważyła sprawę, priorytetem było dla nich co najwyżej odzyskiwanie zhakowanych kont” – mówią nasi rozmówcy.
Do tej pory nie wiadomo, kto ze strony administracji rządowej ma koordynować działania w sprawie operacji dezinformacyjnej z użyciem zhakowanych maili.
Być może dlatego, gdy informacja o ataku na skrzynkę Dworczyka i wycieku dokumentów pojawia się mediach we wtorek 8 czerwca, przez kilka godzin rząd nie wydaje w tej sprawie żadnego komunikatu. Dopiero kilkadziesiąt minut po północy Dworczyk publikuje na Twitterze pierwsze oświadczenie.
Chwilę przed południem 9 czerwca Stanisław Żaryn, rzecznik koordynatora służb specjalnych i główny rządowy komentator w dziedzinie rosyjskiej dezinformacji,pisze na Twitterze: „W związku oświadczeniem Pana Ministra Michała Dworczyka wydanym we wtorek informuję, że służby specjalne analizują wydarzenia opisane przez Pana Ministra w ww. oświadczeniu. Zgłoszenie w tej sprawie wpłynęło do #ABW w dniu wczorajszym”.
Ostatni atak na Dworczyka zawiera jednak zupełnie nowe elementy. Po raz pierwszy w ataku na polskiego polityka został użyty kanał na Telegramie. “Administrator grupy na Telegramie jest trudny do namierzenia, a sam Telegram jest bardzo popularny w rosyjskojęzycznych krajach” – podkreśla w rozmowie z Fundacją Reporterów Michael Colborne z Bellingcata, międzynarodowej grupy dziennikarzy śledczych i ekspertów OSINT (open source intelligence techniques), która ujawniła m.in. sprawców zamachu na Aleksieja Nawalnego.
Ze względu na trudności z namierzeniem użytkowników, z komunikatora korzysta wielu rosyjskich i białoruskich opozycjonistów. Ale stał się on też popularny w innych krajach.
Atak na Dworczyka, inaczej niż poprzednie, nie jest jednorazowy – tym razem to wielodniowa operacja, w której co kilka-kilkanaście godzin pojawiają się nowe dokumenty i sensacyjne zapowiedzi kolejnych partii przecieku. Według portalu Cyberdefence24 taki zabieg może być przynętą – celem ataku mogą być także dziennikarze i politycy, ściągający w nieostrożny sposób dokumenty Dworczyka z Telegrama. Nie ma jednak na razie dowodu, że pliki rzeczywiście zawierają niebezpieczne oprogramowanie.
Operacje manipulacyjne zbiegają się często z ważnymi wydarzeniami politycznymi. Fałszywa informacja o radioaktywnej chmurze znad Litwy z marca 2021 – element kampanii Ghostwriters – zbiegała się w czasie z rozmowami rządów Polski i Francji o budowie w Polsce elektrowni atomowej.
Dezinformacja wokół Białorusi
Dzisiaj – gdy konflikt na linii Polska-Białoruś (wspierana przez Putina) eskaluje – hakerzy mogą go podsycać, uderzając w polityka, który był zaangażowany w pomoc białoruskiej opozycji. Paweł Łatuszka, jeden z liderów białoruskiej opozycji uważa, że tak jest właśnie w sprawie Dworczyka.
Jak wynika z analizy Fundacji Reporterów, to przede wszystkim treści wymierzone w białoruskich opozycjonistów. Największe natężenie dezinformacji można było zaobserwować po uwięzieniu Romana Protasewicza. Anonimowe konta na TT powielały wówczas np. narrację o drogim apartamencie, jaki Protasewicz miał wynajmować w Warszawie. Pisały też, że był członkiem ukraińskiego pułku Azowa. Konta używały fejkowych fotografii, jedno z nich linkowało często do polskiej edycji Sputnika, jednego z głównych narzędzi kremlowskiej propagandy.
Także w sprawie Dworczyka wiele wskazuje na to, że ktoś celowo chce zaognić stosunki polsko- białoruskie, choć na tę chwilę nie można przesądzić, czy to jedyne podłoże tej sprawy.
MB pisze do ministra
Jeden z najnowszych wpisów na kanale w serwisie Telegram, który pojawił się w piątek 11 czerwca to zrzut ekranu z rzekomej korespondencji mailowej pomiędzy Michałem Dworczykiem, premierem Morawieckim i kimś o inicjałach MB.
28 marca 2021 roku Dworczyk przekazuje Morawieckiemu mail, który dostał od MB – w nim złośliwe żarty na temat Joanny Kluzik-Rostkowskiej, polityczki Koalicji Obywatelskiej, która miała zwrócić się do MB z prośbą o pomoc w przygotowaniu tekstu na konferencję.
W mailu, premier pyta: “do kogo?”, Michał Dworczyk zaś miał wyjaśniać, że chodzi o kolegę – „były dyplomata służący ojczyźnie na drugim etacie, potem pracownik fundacji, dziś znów w służbie RP”.
Sama Kluzik-Rostkowska, komentując sprawę na Twitterze, wrzuca zrzut ekranu wiadomości wysłanej do Marka Bućko (MB). “Nie miałam z nim kontaktu od kilkunastu lat, napisałam do niego na messengerze przed konferencją na temat Białorusi, bo szukałam kogoś, kto mógłby przetłumaczyć tweeta o konferencji na język białoruski. Nigdy nie odpowiedział na tę moją wiadomość” – mówi nam posłanka KO.
Marek Bućko, w latach 2000-2005 zajmował wysokie stanowisko radcy ambasady Polski w Białorusi, czyli właściwie zastępcy ambasadora. Zajmował się kontaktami z partiami politycznymi, opozycją i organizacjami mniejszości narodowych. Z Białorusi Bućko wyjeżdżał w maju 2005 roku jako persona non grata. Później, przez 10 lat, do 2016 roku, był szefem portalu Kresy24.pl. Działał też, razem z Michałem Dworczykiem, w fundacji Wolność i Demokracja, pomagającej Polakom na Wschodzie.
Nie chce komentować sprawy wycieku, nie potwierdza również, że jest autorem maila, który trafił na Telegram. Obiecuje, że gdy zapozna się szczegółowo z treścią maila odpowie na dodatkowe pytania – po czym przestaje odpowiadać na próby kontaktu.
Wątpliwości co do wiarygodności maila budzi godzina, o której ostatniego maila w opublikowanym przez hakerów wątku wysłać miał Mateusz Morawiecki. Wedle zrzutu ekranu z kanału na Telegramie, premier odpowiedział o 21:05 na maila z godziny… 22:24.
Portal Niebezpiecznik.pl tak tłumaczy tę zagadkę: „Czy to przeoczenie? Błąd kogoś, kto preparował wiadomość i zarazem dowód na dezinformację? Być może… Ale różnica w czasach może też wynikać po prostu z innej strefy czasowej, w której przebywał: a) albo oglądający e-maila i robiący mu screenshota, b) albo sam premier, bo to w treści jego e-mail pojawia się cytat z “przyszłą” godziną, która dla niego mogła być godziną aktualną”.
Centrum Informacyjne Rządu nie odpowiedziało na nasze pytanie, czy premier korzysta z prywatnego maila, który pojawił się w korespondencji udostępnionej przez hakerów. Przede wszystkim potwierdził się szeroki pryzmat tematów .
Współpraca Julia Dauksza, Fundacja Reporterów
Sporo ważnych informacji w tym informacja o mnie , wynikło wtedy z tego bogato ilustrowanego artykułu ale jeszcze w tym momencie o nich nie napiszę .
20.07.2021.
Anna Gielewska . Julia Dauksza.
👇
Afera mailowa rządu PiS. Ghostwriter, APT28, Fancy Bear, Sand Warm. Kto może stać za atakiem na pocztę Michała Dworczyka – TVN24 / Fragmenty artykułu /
Kto stoi za największą operacją cyberszpiegowską w Polsce? Afera mailowa rządu PiS jest wykorzystywana głównie przez białoruski reżim, ale kampania \”Ghostwriter\” realizuje cele rosyjskie. Pewne ślady działań grupy, która uzyskała dostęp do poczty Michała Dworczyka oraz innych kont, przypominają elementy ataków grup związanych z rosyjskim GRU, takich jak Fancy Bear – wynika z analizy dziennikarzy Fundacji Reporterów, przygotowanej dla tvn24.pl.
Jak działa grupa widmo
Andrzej Kwinto-Yang to działacz PiS i członek Rady Programowej TVP Szczecin. 29 kwietnia na jego facebookowym koncie ukazuje się wpis o treści: \”PiSowski Mordor na czele z Kaczyńskim przekroczył wszelkie możliwe granice (…) PiS nie ma pieniędzy na programy społeczne, ale wydaje gigantyczne pieniędzy na utworzenie tzw \’Fundacji dyplomacji międzynarodowej\’ która będzie organizowała i wspierała działalność lidera białoruskiej opozycji Swietłany Ciechanouskiej i Rady Koordynacyjnej, których już nie popiera nawet naród Białorusi\” (pisownia oryginalna). Ilustruje go zdjęcie wydrukowanego szkicu budżetu takiej organizacji, rzekomo pochodzącego od Karola Kotowicza, współpracownika Dworczyka w KPRM.
20 minut później zrzut ekranu z wpisem Kwinto-Yanga (a raczej zalogowanej na jego koncie osoby) powiela twitterowe konto Agnieszki Kamińskiej, prezes Polskiego Radia, z komentarzem: \”Wsparcie i finansowanie zagranicznych rewolucjonistów i prowokatorów tylko podsyca wewnętrzne ruchy protestacyjne w samej Polsce. W obecnej sytuacji najkorzystniejszym rozwiązaniem problemu byłaby ekstradycja białoruskich ekstremistów…\”.
Tweety nie zyskują dużego zasięgu (konto prezes radia nie jest publiczne), a Polskie Radio informuje o zhakowaniu mediów społecznościowych Kamińskiej. Jej prywatny adres mailowy był jednym z wielu kont, wobec których prowadzone były działania phishingowe przypisywane kampanii Ghostwriter.
Wydruk to fragment oryginalnej korespondencji z udziałem Kotowicza i Dworczyka. Kotowicz miał otrzymać szkic budżetu fundacji od jednego z białoruskich opozycjonistów i przesłać go Dworczykowi. Po publikacji dokumentu na koncie Kamińskiej 30 kwietnia, Kotowicz zgłasza sprawę do CERT-ów ABW, MON i NASK (każdy z tych zespołów jest odpowiedzialny za reagowanie na incydenty bezpieczeństwa komputerowego)
Inaczej niż w poprzednich atakach przypisywanych kampanii Ghostwriter, w których sfabrykowane treści były rozprowadzane w sieci za pośrednictwem np. zhakowanych portali informacyjnych, screeny sfabrykowanych wpisów \”Kamińskiej\” trafiły na wówczas szerzej nieznany rosyjskojęzyczny kanał na Telegramie, od lutego br. publikujący notatki oparte na dokumentach uzyskanych w wyniku ataku na skrzynkę Dworczyka (bez podania źródła). Jego istnienie ujawnił Robert Zieliński w tvn24.pl 16 czerwca – kilka dni po wybuchu afery mailowej.
Kanał jest skierowany zwłaszcza do białoruskich odbiorców – pojawiały się na nim na przykład ironiczne odniesienia do piosenek zespołu Maszyna Wriemieni, którego lider Andriej Makarewicz popierał protestujących. Działacz PiS Kwinto-Yang został przedstawiony białoruskim odbiorcom jako \”poseł polskiego Sejmu\”.
Na materiały opublikowane w rosyjskojęzycznym kanale – w tym zrzuty ekranu korespondencji Dworczyka – powołuje się rządowa telewizja białoruska. Uwiarygadnia nimi narrację o tym, że protesty przeciwko wynikom wyborów prezydenckich były inspirowane i finansowane z Polski.
Zapytaliśmy rzecznika prasowego ministra koordynatora służb specjalnych Stanisława Żaryna o zawiadomienie złożone przez Kotowicza oraz o to, co ABW zrobiła między końcem kwietnia a 8 czerwca, gdy wybuchła afera. \”Nie wiem, czy ten pan coś składał czy nie\” – odpisał SMS-em Stanisław Żaryn, po czym poprosił o pytania mailem. Odpowiedzi nie dostaliśmy.
Na celowniku: Polska, Litwa, Niemcy
W wyniku śledztwa dziennikarzy Fundacji Reporterów, którego efekty pojawiły się pod koniec marca na vsquare.org, a na początku kwietnia w tvn24.pl, udało się po raz pierwszy powiązać wielomiesięczną kampanię ataków hakerskich na polskich polityków z cyberszpiegowską operacją uderzającą w NATO, opisaną latem 2020 r. przez analityków zajmującej się cyberbezpieczeństwem firmy Mandiant. Jej elementy już w maju 2020 r. opisali też badacze Uniwersytetu Stanforda.
Niespełna miesiąc po publikacji naszej analizy, po serii cyberataków na posłów Bundestagu, Mandiant opublikowała drugi raport, zbieżny z naszymi ustaleniami. Raport zawiera także nowe ustalenia dotyczące operacji. Analitycy firmy przypisują kampanię \”Ghostwriter\” grupie cyberszpiegowskiej UNC1151, działającej na zlecenie obcego państwa, która zajmuje się wyłudzaniem danych logowania i atakami z udziałem złośliwego oprogramowania.
Według ekspertów, niezidentyfikowana grupa już od marca 2017 r. prowadziła w Europie kampanię dezinformacyjną w interesie Rosji, ochrzczoną kryptonimem \”Ghostwriter\” (z ang. autor widmo). Nazwa wzięła się od schematu powtarzającego się w większości ataków: nieznani sprawcy włamywali się na strony mediów – na przykład wykradając dane logowania – lub fałszowali maile instytucji państwowych, by rozpowszechniać i uwiarygadniać fake newsy autorstwa fikcyjnych person. Do działań tej grupy Mandiant zaliczył m.in. atak na stronę Akademii Sztuki Wojennej z kwietnia 2020 r. Umieszczono na niej wówczas sfabrykowany list rektora, wzywający do buntu przeciwko współpracy z NATO (do tego jeszcze wrócimy).
Co jeszcze wiadomo o poprzednich atakach: – na profilach społecznościowych Tomasza Sakiewicza, polityków: Joanny Borowiak, Marcina Duszka, Andrzeja Melaka, Arkadiusza Czartoryskiego zostały opublikowane antynatowskie fake newsy; – kompromitujące i podburzające treści opublikowano na profilach: Marleny Maląg, Iwony Michałek, Magdaleny Sroki, Marka Surmacza, Roberta Pietryszyna, a także – co przyciągnęło uwagę – na kontach Marka Suskiego i radnej Ewy Szarzyńskiej; – ostatnie incydenty, które opisywaliśmy pod koniec kwietnia, były złożonymi operacjami: konta senatorów i strona poselska Elżbiety Witek zostały wykorzystane do próby wywołania afery obyczajowej uderzającej w litewskich polityków, opartej o spreparowane zrzuty ekranu z portalu randkowego, zaś zhakowane konto eksperta ds. Rosji Marka Budzisza promowało na Twitterze zhakowane strony Państwowej Agencji Atomistyki i Ministerstwa Zdrowia, kolportujące fałszywą informację o incydencie nuklearnym; – choć do końca marca w atakach dominowała narracja wymierzona w relacje polsko-litewskie, już w pierwszym ataku z serii (wrzesień 2020) pojawił się także wątek Białorusi – włamywacz opublikował wówczas na koncie Tomasza Sakiewicza fałszywy artykuł (umieszczony na zhakowanym portalu Związku Polaków na Białorusi) o tym, że Polska i Litwa domagają się wysłania wojsk NATO na Białoruś.
Ostatnie akcje przypisywane kampanii \”Ghostwriter\” zawierają kolejne nowe elementy.
W tym samym czasie, co atak z użyciem konta twitterowego Kamińskiej i kanału na Telegramie (koniec kwietnia 2021 roku), ma miejsce także atak informacyjny na Litwie przeciwko białoruskim opozycjonistom: Swiatłanie Cichanouskiej i Pawłowi Łatuszce. Użyto w nim nowego elementu: fałszywej prośby o dotacje. Autorzy fałszywki postarali się, by wyglądała wiarygodnie. W \”prośbie\” wykorzystali konto polskiej organizacji charytatywnej z Wilna, a także fejkowe wideo na utworzonym dwa dni wcześniej kanale na YouTubie oraz przejęte konta członka organizacji \”Lithuanian Freedom Fighters Union\”, które rozsyłało link do fałszywki na Facebooku i Twitterze. Tak sfabrykowana narracja miała przedstawić przeciwników Łukaszenki jako wyłudzaczy i malwersantów. Sprawę opisali badacze DFR Lab, łącząc ją z operacją \”Ghostwriter\”.
Motywy znane już z poprzednich odsłon kampanii \”Ghostwriter\” widać też w ataku z 17 czerwca, w którym wykorzystano przejętą skrzynkę mailową Rafała Dzięciołowskiego, prezesa Fundacji Solidarności Międzynarodowej, rozdzielającej środki polskiej współpracy rozwojowej na projekty w krajach Partnerstwa Wschodniego (w tym na wsparcie białoruskich uchodźców). W tym samym ataku wykorzystano także media społecznościowe posłanki PiS Ewy Szymańskiej i kilku innych osób publicznych.
Na przejętym instagramie Szymańskiej pojawiły się screeny \”zainscenizowanej\” przez zhakowane konta dyskusji wokół wykradzionych ze skrzynki Dzięciołowskiego dokumentów dotyczących budżetu Radia Racja, wspieranej przez Fundację Solidarności Międzynarodowej stacji nadającej dla mniejszości białoruskiej w Polsce. Fałszywka została wykorzystana w artykule uderzającym w relacje pomiędzy Polską a białoruską opozycją, sugerując, że pomoc dla Białorusi jest w Polsce przedmiotem ostrej, ponadpartyjnej krytyki.
Raport Mandianta z końca kwietnia wspomina także o próbie ataku phishingowego na \”ważnego białoruskiego blogera i aktywistę\”. Można przypuszczać, że chodzi o którąś z osób prowadzących opozycyjny kanał Nexta na Telegramie (jego współtwórca Raman Pratasiewicz 23 maja został porwany z pokładu samolotu lecącego na Litwę i obecnie przetrzymywany jest przez białoruskie władze). Sciepan Puciła, twórca Nexty, po wycieku maili Dworczyka potwierdził próby zhakowania autorów kanału i podał, że atakowano też konta Domu Białoruskiego, organizacji mniejszości białoruskiej w Polsce.
Przypomnijmy: fakenewsowy atak z kampanii \”Ghostwriter\” na stronę Akademii Sztuki Wojennej miał miejsce w kwietniu 2020 r. MON wówczas uspokajał: \”serwis uczelni (jako podmiotu niezależnego) był hostowany poza infrastrukturą resortu obrony narodowej, a sam incydent nie miał wpływu na funkcjonowanie resortowych systemów teleinformatycznych oraz przetwarzanych w nich danych\”.
Według naszych ustaleń cyberszpiedzy z UNC1151 polowali na zawartość polskich skrzynek mailowych już wiosną 2020, od początku pandemii. Zarejestrowano wówczas pierwsze domeny wykorzystywane w obecnej serii ataków. To był wymarzony moment dla wszelkiej maści cyberprzestępców – wszyscy, także politycy, przerzucili się na pracę zdalną. Wiele osób, które do tej pory pracowały z zabezpieczonych sieci biurowych, musiało zacząć korzystać z prywatnych komputerów.
Podążyłyśmy tym tropem, który urywał się… na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii. To tam \”Vasya\” i \”Yun\” zarejestrowali na siebie kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do wszystkich możliwych usług (np. Facebooka, Twittera, iClouda), polskich skrzynek na wp.pl i Onecie, ale także wspomnianego wcześniej polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 i prowadziła do strony logowania związanej z ukraińskim wojskiem.
Podążając tym tropem dalej, wyodrębniłyśmy kolejne grupy domen utworzonych w tym samym czasie według bliźniaczego schematu. Niektóre zarejestrowane są w Polsce, jednak wyróżnia je charakterystyczna literówka: Warazawa, jeszcze inna podgrupa – w Bielsku.
Domeny zarejestrowane pomiędzy wiosną 2020 a latem tego roku są utworzone według podobnego schematu, zabezpieczone w podobny sposób – najczęściej serwery są ukryte za usługą Cloudflare, która – zamiast łączyć użytkownika internetu ze stroną znajdującą się na serwerze atakującego – łączy go tylko z kopią znajdującą się na własnych serwerach Cloudflare. Innymi słowy – przy próbie zidentyfikowania autora strony po numerze IP – ślad urywa się w którymś z 93 państw, w których stoją serwerownie Cloudflare. Podobnie zamaskowane są też dane osób i organizacji, na które zarejestrowano domeny. A i tak, co stwierdziłyśmy wcześniej, są one fałszywe. Dla większości domen zarejestrowanych od początku 2021 jedyną informacją na temat tożsamości stojących za nią osób, jaką można znaleźć w rejestrze WHOIS, jest kraj rejestrującego (obecnie Islandia). Mimo to utworzone w tym okresie domeny podzielają ze sobą tak wiele cech wspólnych, że można je uznać za prawdopodobnie wykorzystywane przez tę samą grupę. Łącznie takich domen przeznaczonych do użycia w samej Polsce wyodrębniłyśmy ponad 30.
Jedna z ostatnich prób ataku, na którego ślad trafiamy, została przepuszczona z domeny zarejestrowanej 9 czerwca 2021 roku, podszywającej się pod konfigurację firewalla; według naszych informacji phishing kierujący do strony udającej panel logowania do Lotusa wyłapał i zablokował filtr na serwerach sejmowych. Lotus to należący do IBM system obsługujący polski Sejm. Jednak mniej więcej w tym samym czasie i tak doszło do wejścia na sejmową skrzynkę Dworczyka – 1 lipca screen z jej zawartości, datowanej na 14 czerwca, pojawił się na kanale na Telegramie. Ci sami sprawcy logowali się też do sejmowych skrzynek 10 innych posłów różnych ugrupowań.
Dziennikarze Wirtualnej Polski ujawnili, że poczta zarówno Sejmu, jak i wielu rządowych instytucji, zawiera krytyczne błędy.
Po co grupie, która miałaby zajmować się np. tylko zamieszczaniem kompromitujących wpisów o asystentkach czy prorosyjskich fake newsów w mediach społecznościowych posłów, ataki na takie cele jak ukraińskie wojsko czy przedsięwzięcia obronne? W połączeniu z atakiem na stronę Akademii Sztuki Wojskowej czy resort obrony narodowej można zakładać, że niektóre działania mogły mieć drugie dno – na przykład służyły do rekonesansu infrastruktury, który zwykle poprzedza bardziej złożone uderzenia. W ten sposób atakujący \”przygotowuje się\” do większych operacji, sprawdza zabezpieczenia i reakcje służb.
Szkoła GRU?
Z raportu Mandianta wynika, że UNC1151 już w 2018 – z wykorzystaniem nieaktywnych dziś domen z rozszerzeniem .ml i .tk próbowała łowić nieuważnych internautów. Te rozszerzenia to domeny Mali i Tokelau. Są popularne wśród cyberprzestępców, bo można je zarejestrować za darmo. Wiele ataków phishingowych z domen wykorzystywanych w tamtym okresie, przypisywanych dzisiaj UNC1151, dotyczyło adresów ukraińskich, ale nas najbardziej zainteresował adres utworzony w kwietniu 2018 – z oczywistym zamiarem wyłudzenia danych od użytkowników domeny poczta.mon.gov.pl. W 2018 r. pod tym adresem do swoich skrzynek mailowych logowali się pracownicy MON (dziś tę funkcję pełni atakowany przez UNC1151 w 2020 r. adres w domenie ron.mil.pl).
Fałszywa domena mon-gov.ml (z literówką w rozszerzeniu) kieruje nas na kolejny interesujący trop – działania innej, a być może tylko pozornie innej grupy cyberszpiegowskiej niż UNC1151.
Żywot phishingowych domen jest krótki, zależy od prędkości reagowania służb czy filtrów antyspamowych. Każdy kolejny atak wymaga więc coraz większej kreatywności. Przypomnijmy – adres, którego UNC1151 użyło w 2018 to http://poczta.mon-gov.ml/. To strzał w dziesiątkę: domena zostaje skasowana dopiero w październiku 2020. Jednak nie jest to pierwsza próba phishingowania polskiego MON-u.
W lutym 2016 identycznie zbudowanego adresu – poczta.mon-gov.pl (z myślnikiem zamiast kropki) używają inni sprawcy do próby wyłudzenia danych z MON. Dwa lata wcześniej – w 2014 – eksperymentują z adresem poczta.mon.q0v.pl. Domena mon-gov.pl została przejęta przez polski CERT, g0v.pl obecnie należy do polskiego użytkownika – obie są bezużyteczne dla atakujących.
Sprawcy tamtych dawniejszych ataków są znani – analitycy z firm zajmujących się cyberbezpieczeństwem identyfikują ich jako APT28 (APT to skrót od \”advanced persistent threat\”, czyli zaawansowane trwałe zagrożenie). To jeden z wielu aliasów, pod którymi kryje się jednostka w mediach funkcjonująca między innymi jako \”grupa aktywistów\” Fancy Bear, a zdemaskowana jako jednostka GRU, rosyjskiego wywiadu wojskowego.
Można by powiedzieć, że to przypadkowa zbieżność – w końcu możliwości podszycia się pod mon.gov.pl ogranicza skończona liczba kombinacji możliwych literówek – ale kiedy patrzymy na domeny, podobieństw co do celów i szablonów domen jest więcej. Wśród działań przypisywanych UNC1151 przez Mandiant znajduje się atak na adresy mailowe armii Kuwejtu (również z 2018). Ustaliliśmy domenę, z której został przeprowadzony. Niemal identycznej domeny – różniącej się tylko rozszerzeniem – według ekspertów od cyberbezpieczeństwa z firmy TrendMicro – APT28 użyła z kolei w październiku 2015.
Aktywności grupy APT28 są od lat czujnie śledzone przez analityków. W ostatnim raporcie TrendMicro, monitorujący phishingowe maile od 2014 roku, zwróciło uwagę na nowy trend w taktyce, technikach i procedurach tej grupy (określanej przez tę firmę z kolei jako Pawn Storm). W maju 2019 zaczęła ona podszywać się pod swoje ofiary, by z ich zhakowanych kont rozsyłać kolejnym osobom zainfekowane pliki lub linki do stron wyłudzających hasła. Domeny phishingowe APT28 przedstawione na końcu raportu z 2019 są bliźniaczo podobne do tych przypisywanych UNC1151 w 2018 (z rozszerzeniami .ml i .tk).
Czy zatem może istnieć związek między grupą UNC1151 a grupą APT28?
Na wielu płaszczyznach UNC1151 wydaje się być wiernym naśladowcą dobrze znanych grup \”ze szkoły\” GRU, o zbieżnych celach i metodach, do tego pozyskującą informacje na użytek różnych niezależnych od siebie działań: kampanii \”Ghostwriter\”, oficjalnej propagandy, ale także z dużym prawdopodobieństwem – gry wywiadowczej lub szantażu. Wiele wskazuje na to, że pomiędzy ich działalnością istnieje związek, który już dawno powinien postawić na nogi cały kontrwywiad.
Nowe zadania dla artystów
\”Hakerzy są wolnymi ludźmi jak artyści. Jeśli artysta wstaje rano i ma dobry humor, to cały dzień maluje. Tak samo jest z hakerami. Obudzili się rano, przeczytali, co dzieje się w stosunkach międzynarodowych i jeśli są nastawieni patriotycznie, zaczynają wnosić swój wkład w walkę z tymi, którzy źle mówią o Rosji\” – kokietuje Władimir Putin w 2017 r. w odpowiedzi na pytania o ingerencję Kremla w amerykańskie wybory w 2016 r.
Już wtedy Rosja ma jedną z największych cyberarmii na świecie – od kilku lat intensywnie rekrutuje i szkoli młodych informatyków i programistów. Szybko zasilają oni szeregi cywilnych i wojskowych służb, w tym GRU i Służby Wywiadu Zagranicznego (SWR). Kolejne akcje i cyberataki, których tropy prowadzą do Moskwy, są coraz bardziej spektakularne. Równolegle coraz bardziej zaawansowane operacje dezinformacyjne przeprowadzają pracownicy Internet Research Agency, czyli petersburskiej fabryki trolli.
W 2016 r. NATO ogłasza, że cyberprzestrzeń jest obszarem działań wojennych na równi z ziemią, wodą czy powietrzem. Rok później słowo fake news staje się słowem roku.
Za \”dorobek\” grupy APT28/Fancy Bear/Pawn Storm oficjalnie uznano: – ataki na światową agencję antydopingową (WADA) oraz jej amerykański odpowiednik (USADA) oraz przynajmniej cztery inne instytucje zwalczające doping, z których wykradli i opublikowali wrażliwe informacje o zdrowiu blisko 250 sportowców z ok. 30 krajów – wzmacniając kremlowską narrację o niesprawiedliwej dyskwalifikacji kadry Rosji z Zimowych Igrzysk Olimpijskich w 2018. To wtedy GRU wykreowało personę \”hacktywistów grupy Fancy Bear\” do rozpowszechnienia informacji z zachowaniem pozorów \”oddolnych\” działań; – udaremnioną przez holenderski wywiad próbę przeniknięcia do infrastruktury Organizacji ds. Zakazu Broni Chemicznej, badającej użycie broni chemicznej w Syrii oraz nowiczoka do otrucia Siergieja Skripala (2018), byłego agenta GRU, który współpracował z brytyjskimi służbami.
Oba ataki zostały na tyle dobrze udokumentowane, że w październiku 2018 Departament Sprawiedliwości USA wniósł akt oskarżenia przeciwko siedmiu funkcjonariuszom GRU zidentyfikowanym jako członkowie jednostki GRU 26165.
Osobną sprawę wytoczono w związku ze słynnym atakiem na kampanię Hillary Clinton – według śledczych, zaangażowane w nią było aż 12 osób z dwóch grup cyberszpiegowskich (Sandworm i APT/Fancy Bear).
Tzw. raport Muellera szczegółowo opisuje przebieg ataku będącego dziełem kilku grup. Operacja zaczęła się od zmasowanego ataku phishingowego przypuszczonego przez APT28 na członków Krajowego Komitetu Partii Demokratycznej, w którym najpierw doszło do wycieku 50 tys. maili Johna Podesty, szefa kampanii Hillary Clinton. Jednocześnie, dzięki lekkomyślnym ofiarom, hakerzy uzyskali dostęp do wewnętrznej sieci demokratów i wgrali na nią oprogramowanie przechwytujące wpisywany tekst i widok ekranu.
W tym samym czasie druga grupa – o której zaraz – kolportowała skradzione maile z pomocą specjalnie stworzonej strony DCLeaks, przekazując je mediom pod przykrywką fikcyjnej persony udającej hacktywistę – \”Guccifer 2.0\” udzielał nawet wywiadów.
Towarzysząca publikacji maili akcja dezinformacyjna – wykorzystująca oryginalne maile i fake newsy – kompromitowała kandydaturę Hillary Clinton.
Celem ataku były też służbowe maile Clinton – jednak atak odbił się od podwójnego zabezpieczenia. Przy okazji ujawniono, że Clinton w latach, w których pełniła funkcję sekretarza stanu USA, korespondencję w sprawach państwowych przekierowywała lub prowadziła ze swojego prywatnego adresu e-mail i prywatnego serwera. Szef FBI uznał te działania za \”niebezpieczne\” mimo zastosowania podwójnych zabezpieczeń. Ani Mateusz Morawiecki, ani Michał Dworczyk nie wyciągnęli z tego żadnych wniosków – pięć lat później zostali przyłapani na rządzeniu polskim państwem z prywatnej poczty.
Co ciekawe, dochodzenie po ataku na Clinton wykazało, że w tym samym czasie dostęp do serwerów demokratów miała też jeszcze inna (trzecia) rosyjska jednostka. Chodzi o Cosy Bear, wiązaną z SWR. Działo się to prawdopodobnie zupełnie niezależnie i z misją długoterminowego szpiegostwa.
W kontekście afery Dworczyka równie interesujące są ataki z długiej listy przypisywanej Fancy Bear przez różne firmy zajmujące się cyberbezpieczeństwem. Te ataki zyskały mniej publicznej uwagi.
W 2017 roku dokumenty wykradzione z konta dziennikarza Davida Sattera, krytycznego wobec Kremla, zostały uzupełnione o kompromitujące treści i udostępnione jako \”wyciek\”. Satter okazał się ofiarą szerokiej operacji phishingowej, skierowanej do ponad 200 adresatów w 39 krajach.
Grupie APT28/Fancy Bear przypisywana jest też próba ingerencji we francuskie wybory w roku 2017. Doszło wówczas, na dwa dni przed wyborami, do wycieku 20 tysięcy maili związanych z kampanią Emmanuela Macrona. Dokumenty zostały umieszczone na PasteBinie (usłudze umożliwiającej anonimowe udostępnianie surowych tekstów za pomocą linka), jednak operacja poniosła klęskę: ogromna ilość informacji udostępniona tuż przed ciszą wyborczą nie przebiła się do mediów. Francuskie władze ogłosiły wówczas, że atak był \”tak ogólny i prosty, że mógł go dokonać praktycznie każdy\”.
Wiele wskazuje jednak na to, że była to skomplikowana operacja. Według cytowanych przez \”Le Monde\” analityków, choć grupa APT28 rozpoczęła przygotowania do ataku w marcu 2017, porzuciła je w połowie kwietnia, a w jej miejsce weszła inna grupa – przez analityków nazywana Sandworm. Przypomnijmy: to właśnie grupa, która w 2016 miała odpowiadać za dystrybucję wykradzionych przez APT28/Fancy Bear maili z ataku na komitet demokratów.
W październiku 2020 Departament Sprawiedliwości USA ogłosił, że stawia zarzuty sześciu zidentyfikowanym z imienia i nazwiska hakerom tej grupy, będącym jednocześnie pracownikami jednostki nr 74455 GRU.
Poza wspólnymi z APT28/Fancy Bear atakami na kampanię Macrona czy Clinton grupa Sandworm odpowiadała za przeprowadzenie \”w strategicznym interesie Rosji\” takich ataków jak: – ataki na ukraińskie elektrownie i sieci przesyłowe w latach 2015 i 2016; – użycie na światową skalę niszczycielskiego malware (złośliwego oprogramowania) NotPetya, które szyfrowało i wymazywało dyski; – sabotaż organizatorów Zimowych Igrzysk Olimpijskich w 2018 roku (z tych samych motywów, przez które APT28 doprowadziło do wycieku danych sportowców); – phishing pracowników Organizacji ds. Zakazu Broni Chemicznej badającej użycie nowiczoka do otrucia Skripala – w tym samym roku, w którym funkcjonariusze jednostki 26165 GRU próbowali fizycznie \”wpiąć się\” do jej systemu.
Z lektury akt procesów agentów GRU zaangażowanych w działania grup APT28/Fancy Bear i Sandworm, a także z raportów firm analitycznych badających te grupy, wyłania się obraz szkatułkowych operacji, prowadzonych czasem samodzielnie, czasem w kooperacji, z użyciem wielu środków jednocześnie: m.in. masowych lub spersonalizowanych phishingów, instalowania złośliwego oprogramowania, posługiwania się w sieci wykradzionymi dokumentami, fikcyjnych person i fałszywych kont w mediach społecznościowych.
Akta te czyta się jak powieść sensacyjną – tam, gdzie hakerzy nie byli w stanie zdalnie dopaść ofiar, agenci GRU podróżowali na miejsce (od Lozanny po Rio de Janeiro), by fizycznie zhakować infrastrukturę swojego celu (np. wpiąć się do hotelowej sieci WiFi). Jednak podstawowym narzędziem ich działania pozostawał mało wyrafinowany phishing.
Co i kiedy wiedziały służby ?
W reakcji na pogłębiający się chaos informacyjny wokół sprawy rzecznik ministra koordynatora służb specjalnych wydał 22 czerwca oświadczenie, w którym stwierdzał, że atak na skrzynkę Dworczyka to odsłona kampanii \”Ghostwriter\”, którą (przypomnijmy) opisaliśmy w tvn24.pl na początku kwietnia.
Komunikat głosił, że \”na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Co najmniej 500 [teraz jest mowa o ponad 700 – red.] użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów (…) Na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne (…) Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk.
Na początku marca 2021 r. notatka w sprawie cyberataków, podpisana przez CSIRT-y (Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego MON, NASK i GOV) ląduje na biurku urzędującego w KPRM pełnomocnika ds. cyberbezpieczeństwa – wówczas jest nim Marek Zagórski, były minister cyfryzacji. Mijają kolejne trzy miesiące – nic się nie dzieje\”
ZNAKOMITY PROFESJONALNY ARTYKUŁ którego obszerne fragmenty pozwoliłem sobie przytoczyć z jedną drobną różnicą że Jurij Tierech nie jest tylko blogerem mimo to polecam go tym bardziej że rekomenduje go osoba związana aktualnie z kontrwywiadem a więc mająca bieżący a nie niestety archiwalny \”dostęp\” do tego co ustaliło ABW. Niestety nazwiska tej osoby z względów bezpieczeństwa nie mogę ujawnić. To była analiza która była mi potrzebna choćby dlatego że po raz pierwszy dziennikarz a nie \”osintowiec\” użył wspaniałego narzędzia śledczego jakim jest bez wątpienia aplikacja MALTEGO . To podstawowe narzędzie dla pracy niejednego śledczego dziennikarza. Zdradzę Państwu tajemnicę że z powodzeniem użył ją jeden z wielkich dziennikarzy śledczych a mój Followers przy badaniu afery \” Steele Dossier\” związanej z niedoszłą budową TRUMP TOWER w Moskwie. Niestety ponieważ trwa cały czas śledztwo przeciwko powiązaniom byłego Prezydenta USA to również i w tym przypadku nie mogę zdradzić jego nazwiska oraz nic więcej ujawnić. Jestem też pod pozytywnym wrażeniem że redaktor Gielewska zdążyła się dowiedzieć o moim szybkim tweecie z 8.06.2021 którego nie \”namierzyli\” nawet dziennikarze z Konkret 24. Dałem więc FOLLOW na Twitterze kontu pani redaktor i polecam to również moim Followersom 🙂
Pokażmy za to jeszcze raz co w sprawie afery mailowej \”potrafi\” ta aplikacja.
To wprost niewiarygodne ile informacji i powiązań można z analizy tego popularnego w \”pewnym\” środowisku -\”pajączka\” zobaczyć oraz po kolei je bardzo dokładnie , domena po domenie lub nazwisko po nazwisku -analizować… Brawo red Gielewska, dobra robota , pełen szacun \”osintowca\”!
To w tym temacie też warto zobaczyć.
VSQUARE – Telegram Channel by Fundacja Reporterów on Genially
Nie będę powtarzał to co już świetnie ustaliły redaktor Gilewska ,redaktor Julia Dauksza i Zespół Reporterów ale wiadomo że w 2020 roku zarejestrowano domeny pishingowe w celu sfałszowania poczta.ron.mil.pl z której korzystano zdalnie. Czasy początku koronawirusa to okres niezwykłej wprost prosperity i działalności hakerów wykorzystujących to że wiele urzędów ,instytucji czy firm przeszło na tryb zdalny.
Zaglądając do niezwykle ciekawej ale też ważnej analizy pochodzącej z września 2021 a wykonanej przez zespół analityków \”PREVAILION.\” dowiemy się o fałszowaniu konkretnych domen łudząco podobnych do oryginalnych.
👇
\”Nurkowanie\” w głąb infrastruktury UNC1151: Ghostwriter i nie tylko – Prevailion
1 września 2021 r.
Adversarial Counterintelligence Team (PACT) Prevailion wykorzystuje zaawansowane techniki polowania na infrastrukturę i niezrównany wgląd Prevailion w tworzenie infrastruktury cyberprzestępców, aby odkryć nieznane wcześniej domeny związane z UNC1151 i kampanią wpływu \”Ghostwriter\”. UNC1151 jest prawdopodobnie wspieranym przez państwo podmiotem zagrażającym [1], prowadzącym trwającą i dalekosiężną kampanię wpływu, która była skierowana do wielu krajów w całej Europie. Ich operacje zazwyczaj wyświetlają komunikaty ogólnie zgodne z interesami bezpieczeństwa Federacji Rosyjskiej; ich cechy charakterystyczne obejmują antynatowskie komunikaty, dogłębną znajomość regionalnej kultury i polityki oraz strategiczne operacje wpływu (takie jak operacje hakerskie i wycieki używane w połączeniu ze sfabrykowanymi wiadomościami i / lub sfałszowanymi dokumentami). PACT ocenia z różnym stopniem pewności, że istnieje 81 dodatkowych, niezgłoszonych domen skupionych z aktywnością, którą FireEye i ThreatConnect wyszczególniły w swoich raportach [1,2,4]. PACT ocenia również z dużą pewnością, że UNC1151 była skierowana do dodatkowych podmiotów europejskich spoza krajów bałtyckich, Polski, Ukrainy i Niemiec, w odniesieniu do których nie istnieją wcześniejsze publiczne sprawozdania.
Przegląd sytuacji:
W lipcu 2020 roku Mandiant z FireEye opublikował raport wywiadu o zagrożeniach na temat kampanii wpływu, którą nazwali \”Ghostwriter\”, w którym wyszczególnili klaster działań, które demonstrowały \”agendę antynatowskią\”, która \”była skierowana głównie do odbiorców na Litwie, Łotwie i w Polsce z narracjami krytycznymi wobec obecności Organizacji Traktatu Północnoatlantyckiego (NATO) w Europie Wschodniej\”. W kwietniu 2021 roku ThreatConnect opublikował aktualizację Threat Intel , która zawierała możliwą powiązaną infrastrukturę Ghostwriter podszywającą się pod organizacje wojskowe w Polsce i na Ukrainie, oraz cytuje niemieckie raporty śledcze opisujące działalność Ghostwritera przeciwko członkom niemieckiego rządu i twierdzące, że mogą być powiązane z państwem rosyjskim. Później w kwietniu 2021 roku Mandiant opublikował aktualizację swojego wstępnego raportu , w którym przypisał przynajmniej część aktywności Ghostwritera UNC1151, \”podejrzanemu sponsorowanemu przez państwo aktorowi cyberszpiegowskiemu, który angażuje się w zbieranie danych uwierzytelniających i kampanie złośliwego oprogramowania\”. W maju 2021 r. (w następnym miesiącu) DomainTools opublikował raport składający się z infrastruktury UNC1151 , który potwierdził wcześniejsze ustalenia i uwzględnił wcześniej niezgłoszczoną infrastrukturę i sieciowe IOC związane z UNC1151. Wreszcie, w sierpniu 2021 r., VSQUARE opublikował wyczerpującą analizę kampanii wpływu Ghostwriter, która potwierdziła wcześniejsze ustalenia łączące działalność Ghostwriter / UNC1151 z Kremlem i szczegółowo opisujące działalność grupy w 2017 r. (i prawdopodobnie wcześniej), w tym czasie grupa została zidentyfikowana przy użyciu infrastruktury phishingowej do wysyłania ukierunkowanych wiadomości spearphishing i angażowania się w politycznie destrukcyjne operacje włamania i wycieku.
Może pomóc czytelnikowi wyszczególnić krótką oś czasu znaczących wydarzeń, które zostały wiarygodnie zgłoszone i przypisane :
- w 2014 roku próby uzyskania dostępu do Ministerstwa Obrony Narodowej z wykorzystaniem domeny phishingowej \”poczta.mon.q0v[.] pl\’ (później przypisany do APT28).
- w 2016 r. podjęto podobne próby wykorzystania domeny phishingowej wyświetlającej podobny wzór: \”poczta.mon-gov[.] pl\”. Systemy Narodowego Komitetu Demokratów Stanów Zjednoczonych zostały naruszone przez APT28 (Fancy Bear) i APT29 (Cozy Bear), prawdopodobnie działające niezależnie. Dostęp ten doprowadził do niesławnej operacji włamania i wycieku, aby zaszkodzić kampanii prezydenckiej Hillary Clinton.
- w 2017 roku, od marca, zaobserwowano niezidentyfikowaną grupę prowadzącą europejską kampanię dezinformacyjną nazwaną przez FireEye \”Ghostwriter\”.
- w 2018 r. UNC1151 rejestruje domeny phishingowe, w tym \”poczta.mon-gov[.] ml\’ \”z wyraźnym zamiarem kradzieży danych z adresu, którego pracownicy używali do logowania się do swojego adresu e-mail\”. Litewski CERT publikuje również raport o ataku przypisywanym później Ghostwriterowi [3].
- w 2019 roku litewski CERT publikuje kolejny [3] raport na temat ataku przypisywanego później Ghostwriterowi.
- w 2020 r. zarejestrowano i ustrukturyzowano domeny phishingowe w celu podszywania się pod poczta.ron.mil.pl, wykorzystywanych przez \”pracowników MON pracujących zdalnie\”. [6]. Zarejestrowano dodatkową infrastrukturę phishingową. Atakujący uzyskują dostęp do osobistego adresu e-mail szefa Kancelarii Prezesa Rady Ministrów. W Polsce odbywają się różne operacje wywierania wpływu.
- w 2021 r. zidentyfikowano UNC1151 ukierunkowany na dane logowania niemieckich polityków [3]. Operacje wywierania wpływu trwają, ale teraz nieautentyczne wiadomości są rozpowszechniane z porwanych kont, a także fałszywych person. Operacje wywierania wpływu odbywają się na Litwie [6]. W wyniku konfliktów wewnętrznych lot znanego białoruskiego blogera opozycyjnego zostaje porwany w drodze na Litwę i uwięziony. Wcześniej obserwowane operacje phishingu i wywierania wpływu trwają do lata.
PACT zidentyfikował nakładające się na siebie TTP w trakcie niniejszego dochodzenia, w szczególności techniki stosowane do przeprowadzania operacji wywierania wpływu (np. phishing w celu uzyskania danych uwierzytelniających w celu zaangażowania się w hack-and-leak) oraz tematy nazewnictwa domen i subdomen, takie jak \”poczta\” i inne polskie i ukraińskie słowa. Poprzednie raporty [6] przypisywały te nakładające się zachowania wykazywane przez różne grupy (APT28, APT29 i UNC1151) hipotezie, że cała ta działalność jest w jakiś sposób związana z państwem rosyjskim ogólnie, a konkretnie z jego aparatem wywiadowczym; PACT zgadza się z tą oceną: jest prawdopodobne, że działalność UNC1151 jest kontrolowana lub pod wpływem rosyjskich służb wywiadowczych. PACT nie przypisuje aktywności APT28 i APT29 unc1151 lub odwrotnie.
UNC1151 i związana z nią kampania Ghostwriter są szerokie zarówno pod względem zakresu, jak i celu; Poprzednie raporty wskazują na kierowanie odbiorców w krajach bałtyckich (Estonia, Łotwa i Litwa), a także w Niemczech, Polsce i na Ukrainie. Analiza infrastruktury phishingowej z tych raportów wskazuje, że grupa atakowała oficjalne konta rządowe (zarówno cywilne, jak i wojskowe), a także konta osobiste. Dodatkowa analiza przeprowadzona przez PACT wskazuje na kierowanie reklam do jeszcze innych odbiorców.
Wcześniejsze raporty i dodatkowe analizy sugerują, że jednym z zachowań UNC1151 jest używanie domen głównych ze wspólnymi, pozornie uzasadnionymi słowami i tematami (np. \”net-account[.] online\” lub \”login-telekom[.] online\”), a następnie wykorzystać je za pomocą konkretnych, ukierunkowanych subdomen, aby utworzyć długie adresy URL, które sprawiają, że ich domeny phishingowe wyglądają na legalne (np. \”gmx.net-account.online\” lub \”verify.login-telekom[.] online\”). Dodatkowe przykłady pojawiają się w innym miejscu tego raportu i pokazują zdolność UNC1151 do tworzenia przekonujących domen, które pozwalają im przechwytywać dane uwierzytelniające w wysoce ukierunkowanych kampaniach spearphishingowych, które można następnie wykorzystać do dalszych operacji wywierania wpływu: hack-and-leak i nieautentyczne wiadomości (wysyłanie sfałszowanych lub zmanipulowanych wiadomości lub publikowanie podżegających materiałów z porwanych lub fałszywych kont). Ta zdolność, w połączeniu ze zgłoszoną zdolnością UNC1151 do zrozumienia i wykorzystania istniejących wcześniej szczelin społeczno-kulturowych do zasiania niezgody i niepokoju w atakowanych państwach (zgodnie z celami bezpieczeństwa Moskwy), może okazać się szkodliwa i trudna do przeciwdziałania, a zatem powinna zostać podkreślona.
PACT zidentyfikował tematy nazewnictwa domen i subdomen, które wskazywały na kierowanie do następujących odbiorców: ukraiński i polski rząd (w szczególności sektor obronny) (zdjęcie 1,2), europejscy użytkownicy iPhone\’a i iCloud (zdjęcie 3), Francuska Delegacja Informacji i Komunikacji Obronnej (DICoD) (departament francuskiego Ministerstwa Sił Zbrojnych) (zdjęcie 4) oraz użytkownicy popularnych regionalnych dostawców usług internetowych w Europie i Rosji (obrazy 5-8), a także globalni giganci technologiczni, tacy jak Google, Microsoft, Apple, Twitter i Facebook (zdjęcia 9,10).
Obraz 1: Domena phishingowa spreparowana w celu kierowania na ukraińskie konta rządowe. | |
Zdjęcie 2: Domena phishingowa spreparowana w celu kierowania na polskie konta rządowe. | |
Obraz 3: Domena phishingowa spreparowana w celu kierowania reklam do europejskich użytkowników iCloud. | |
Obraz 4: Domena phishingowa spreparowana w celu kierowania na francuskie konta DICoD. | |
Obraz 5: Domena phishingowa spreparowana w celu kierowania na meta.ua, popularnego ukraińskiego dostawcy usług internetowych. | |
Obraz 6: Domena phishingowa spreparowana w celu zaatakowania bigmir) net, dużego portalu informacyjno-rozrywkowego z siedzibą na Ukrainie. | |
Obraz 7: Domena phishingowa spreparowana w celu zaatakowania \”interia.pl\”, dużego polskiego dostawcy usług internetowych. | |
Obraz 8: Domena phishingowa spreparowana w celu zaatakowania \”ukr.net\”, ukraińskiego portalu usług internetowych. | |
Obraz 9: Domena phishingowa spreparowana w celu kierowania na konta na Twitterze. | |
Obraz 10: Domena phishingowa spreparowana w celu kierowania na konta głównych gigantów mediów społecznościowych i technologii. |
UNC1151 udowodnił skuteczność tych taktyk, ponieważ setki ofiar, w tym członkowie komisji wywiadu parlamentarnego i szef Kancelarii Prezesa Rady Ministrów, wzięli przynętę i dali atakującym dostęp do ich prywatnych kont e-mail [6]. Niestety, udane wyłudzanie jego celów jest tylko początkową, umożliwiającą działanie funkcją metodologii operacyjnej UNC1151. Następnie aktor wykorzystuje ten dostęp do dalszych operacji wywierania wpływu.
Metodologia śledcza
PACT wykorzystał unikalną widoczność i zastrzeżoną platformę wywiadowczą Prevailion, wraz z wcześniejszymi raportami publicznymi, do identyfikacji wzorców i infrastruktury internetowej (np. Historyczna rejestracja domen, certyfikat TLS, DNS i dane hostingowe), aby pomóc w identyfikacji dodatkowej infrastruktury UNC1151. PACT zidentyfikował dodatkowe 83 domeny związane z UNC1151, które nie zostały wcześniej zgłoszone: 52 z nich PACT ocenia z wysokim zaufaniem, są lub były częścią infrastruktury operacyjnej UNC1151, a 31, które PACT ocenia z umiarkowaną pewnością, że są wcześniej wykorzystywaną infrastrukturą phishingową do ukierunkowanych kampanii phishingowych aktora.
Klaster Wysokiego zaufania został powiązany z poprzednimi raportami publicznymi i jest wymieniony na dole tego bloga; PACT obejmował również resztę infrastruktury UNC1151 z poprzednich raportów dla wygody obrońców i badaczy. Klaster ten obejmuje domeny phishingowe, które PACT ocenia z dużą pewnością, że miały na celu uzyskanie danych logowania dla członków DICoD francuskiego Ministerstwa Obrony. Znaczna część tego klastra wydaje się być zaprojektowana do przechwytywania danych logowania do oficjalnych i osobistych kont odbiorców polskich i ukraińskich (obrazy 11,12); wspólne motywy subdomen są wspólne dla wszystkich (obrazy 13-16). Działalność związana z tym klastrem domen jest w toku, o czym świadczy rejestracja \”login-inbox[.] site\’ w dniu 2021-08-20.
Zdjęcie 11: Domena phishingowa spreparowana w celu kierowania na oficjalne konta polskiej publiczności. | |
Obraz 12: Domena phishingowa spreparowana w celu kierowania reklam na konta osobiste ukraińskich odbiorców. | |
Obraz 13–16: Domeny wyłudzające informacje wyświetlające typowe motywy subdomen. |
Klaster umiarkowanego zaufania został zidentyfikowany na podstawie zaobserwowanych podobieństw hostingowych, wcześniejszych raportów na temat szeroko zakrojonych kampanii phishingowych [6] oraz podobieństw tematów nazewnictwa domen i subdomen [2]. Ten klaster aktywności był aktywny jeszcze w lipcu 2021 r., ale większość rejestracji domen miała miejsce w 2019 r., A wygaśnięcie w 2020 r. Motywy nazewnictwa wskazują docelową grupę docelową użytkowników Apple (iPhone i iCloud) w Europie; prawie wszystkie domeny główne mają co najmniej jedną subdomenę, która zawiera słowa \”apple\” lub \”icloud\” (obrazy 17,18). Dodatkowe subdomeny wydają się być kierowane również na PayPal i loginy OVH Telecom (obrazy 19,20). Jeśli PACT ma rację przypisując tę aktywność UNC1151, ten klaster w większości wygasłych działań Umiarkowanego Zaufania wskazuje na zmianę w kierowaniu około 2020/2021, ponieważ Ghostwriter był skierowany przede wszystkim do odbiorców w Polsce, na Ukrainie i w krajach bałtyckich (co można łatwo zauważyć po szybkim spojrzeniu na subdomeny w klastrze Wysokiego Zaufania). Natomiast ten klaster umiarkowanego zaufania wydaje się wyraźnie ukierunkowany na europejskich użytkowników iCloud.
Obraz 17: Domena wyłudzająca informacje spreparowana w celu kierowania na konta Apple/iCloud. | |
Obraz 18: Domena wyłudzająca informacje spreparowana w celu kierowania na konta Apple/iCloud. | |
Obraz 19: Domena wyłudzająca informacje spreparowana w celu kierowania reklam na użytkowników PayPal. | |
Zdjęcie 20: Domena phishingowa spreparowana w celu kierowania reklam na OVH Telecom. |
Konkluzja
PACT nie jest w stanie zweryfikować, czy UNC1151 jest jednorodną grupą o kierunku centralnym; PACT nie może również zweryfikować, czy wszystkie działania Ghostwritera były prowadzone przez UNC1151, ponieważ analitycy PACT mają wgląd tylko w infrastrukturę internetową. Możliwe, że tworzenie infrastruktury phishingowej, gromadzenie danych uwierzytelniających, dostęp i operacje wywierania wpływu były centralnie kierowane lub kontrolowane, ale przeprowadzane przez różne grupy. Oczywiste jest jednak, że istnieje nadrzędny temat i kierunek tych działań. To właśnie ten temat i kierunek PACT zidentyfikował i nadal śledzi w ramach podmiotu UNC1151, który potwierdza raporty cytowane poniżej.
PACT nadal śledzi UNC1151 i kampanię Ghostwriter, wykorzystując unikalny i niezrównany wgląd Prevailion w tworzenie złośliwej infrastruktury i będzie publikować kolejne aktualizacje, gdy zostaną zidentyfikowane i potwierdzone.
Odwołania
[1] https://www.fireeye.com/blog/threat-research/2020/07/ghostwriter-influence-campaign.html
[2] https://threatconnect.com/blog/threatconnect-research-roundup-threat-intel-update-april-1st-2021/
[3] https://www.fireeye.com/blog/threat-research/2021/04/espionage-group-unc1151-likely-conducts-ghostwriter-influence-activity.html
[4] https://www.tagesschau.de/investigativ/wdr/hackerangriffe-105.html
[5] https://www.domaintools.com/content/iris-report-unc-1151-domains.pdf?utm_source=Blog&utm_campaign=IOC
[6] https://vsquare.org/the-ghostwriter-scenario/
Dodatek (IOC)
PACT ocenia z dużą pewnością, że następujące domeny są częścią operacji UNC1151; ponadto nie pojawiają się one w publicznych raportach, które pojawiły się w ramach analizy PACT:
- account-signin.online
- bigmir-net.online
- bigmir-net.site
- com-firewall.site
- com-verification.site
- fr-login.website
- i-ua.site
- id-passport.online
- interia-pl.online
- interia-pl.space
- interia.site
- is-lt.online
- is-lt.site
- login-credentials.online
- login-inbox.site
- mail-i-ua.site
- mail-validation.online
- meta-ua.site
- must-have-oboron.space
- net-login.online
- net-login.site
- net-login.space
- net-login.website
- net-mail.space
- net-validate.space
- net-verification.site
- net-verification.website
- oborona-ua.site
- passport-account.online
- passport-yandex.online
- passport-yandex.site
- protect-sale.site
- receller.space
- sales-oboron.space
- signin-credentials.online
- signin-inbox.online
- signin-inbox.site
- uazashita.space
- vilni-ludi.space
- vp-pl.site
- vp-pl.website
- webmail-meta.online
- wirtualna-polska.online
- wp-dostep.website
- wp-firewall.site
- wp-pl.online
- wp-pl.site
- wp-pl.space
- wp-pl.website
- yahoo-com.site
- yahoo-com.space
- Zahist-ua.space
Następujące domeny zostały wcześniej przypisane jako część operacji UNC1151:
- account-inbox.online
- accounts-login.online
- accounts-telekom.online
- com-account.website
- com-validate.site
- com-verify.site
- credentials-telekom.online
- google-com.online
- inbox-admin.site
- interia-pl.site
- interia-pl.website
- login-inbox.online
- login-mail.online
- login-telekom.online
- login-verify.online
- logowanie-pl.site
- meta-ua.online
- mil-secure.site
- net-account.online
- net-account.space
- net-support.site
- net-verification.online
- net-verify.site
- onet-pl.online
- op-pl.site
- potwierdzenie.site
- ron-mil-pl.site
- ron-mil-pl.space
- ru-mailbox.site
- ru-passport.online
- secure-firewall.online
- secure-firewall.site
- signin-telekom.online
- ua-agreements.online
- ua-login.site
- ua-passport.online
- ukroboronprom-com.site
- ukroboronprom.online
- verify-ua.online
- verify-ua.site
- verify-ua.space
- wp-agreements.online
- wp-pl-potwierdz-dostep.site
- wp-pl.eu
- wp-potwierdzac.site
PACT ocenia z umiarkowaną pewnością, że następujące domeny są częścią infrastruktury phishingowej używanej przez UNC1151; ponadto nie pojawiają się one w publicznych raportach, które pojawiły się w ramach analizy PACT:
- appie.in
- apple-email.online
- apple-emails.online
- betlimanpark.com
- com-direct.in
- com-directly.in
- com-id.info
- com-id.site
- com-idlog.in
- com-idlogin.in
- com-idlogin.site
- com-ids.in
- com-ids.info
- com-idsign.in
- com-idsite.in
- com-last.info
- com-latest.info
- com-latestlocation.info
- com-locations.info
- com-logs.in
- com-map.tech
- com-site.id
- com-site.in
- com-sys.in
- emails-apple.live
- eu-icloud.com
- europe-apple.com
- europe-icloud.com
- idlog.in
Matt Stafford, starszy badacz ds. analizy zagrożeń
Proszę zwrócić uwagę na to że w tej analizie są domeny łudząco podobne do popularnych domen Wirtualnej Polski / pozycja 43-49 / czy Interii / pozycja 9-12 / i osoby mające niezabezpieczoną odpowiednio pocztę która nie ma dwuskładnikowego uwierzytelniania czy bez robionej na bieżąco a nie raz na jakiś czas -aktualizacji zabezpieczeń antywirusowych, anty spyware przez najlepszych i najpewniejszych dostawców takich jak choćby NORTON będą narażone na ataki.
16.11.2021. Zespół analityków MANDIANT publikuje raport dotyczący UNC 1151
👇
Proszę zauważyć i to jest w tej aferze mailowej najciekawsze ,kanał z dokumentami rządowymi istnieje od 5 .02 2021, podczas gdy kanał „mailowy” dopiero od 4 .06.2021. Idą tak jakby dwa \”strumienie\” maili ponieważ w opublikowanych dokumentach nie ma nic, co by wskazywało, że pochodzą akurat z prywatnego maila ministra Dworczyka czy jakiegokolwiek innej skrzynki mailowej. Nasuwa się też pytanie: skąd pochodzi część plików i gdzie włamali się hakerzy? Czy atak hakerski dotyczył tylko prywatnych skrzynek mailowych, czy również jakiegoś rządowego serwera?
Na samym portalu Telegram są dwa kanały które wymagają szczególnej uwagi -\”Poufna Rozmowa\” i rosyjskojęzyczny \”Tajna Europa 2.0 \”. Już na samego początku odniosłem dziwne wrażenie że komuś zależy aby myślano że za wyciekiem maili stoją tylko hakerzy z Wschodu. Fakt że hakerom błędy i pozostawianie cyfrowych śladów raczej nie zdarzają się dlatego należy jeżeli jest możliwość to sprawdzać metadane każdego maila.
Poniedziałek 21.06.2021 , g.14:35
Z powyższym skanem jest związany ciekawy artykuł eksperta.
28.06.2021. Portal Onet. Komputer Świat.
👇
\”Rzekomy mail ministra Dworczyka, w którym podejmowany jest temat użycia sił wojskowych wobec Strajku Kobiet, wyciekł na Telegramie kilka dni temu. Nowe światło na sprawę rzucają znajdujące się na nim metadane, w tym adresy IP wskazujące, że wiadomość mogła zostać wysłana z biura Kancelarii Premiera. Nie da się jednak wykluczyć, że ujawnione w tej kwestii dane zostały spreparowane.
Chociaż co do autentyczności wiadomości, która wyciekła, nie możemy mieć stuprocentowej pewności, to znajdujące się na zrzucie ekranu informacje odzwierciedlają rzeczywisty adres IP – 91.198.194.12. Po sprawdzeniu go w bazie pojawia się trop, prowadzący bezpośrednio do Kancelarii Prezesa Rady Ministrów.
Foto: Telegram Metadane rzekomego maila ministra Dworczyka
Dane dotyczące każdego adresu IP są jawne i ogólnodostępne. Sami możecie je sprawdzić w serwisach typu findip-address.com. W przypadku powyższej informacji, może ona oznaczać, że chociaż wiadomość wysłana została z prywatnego konta, to zalogowane było ono do sieci należącej do biur Kancelarii Premiera.
Foto: findip-address.com .Informacje o adresie IP z rzekomego maila ministra Dworczyka.
Nie tylko eksperci z \”Komputer Świat\” czy ja potwierdzają że jest naprawdę poważny \”polski wątek\” w aferze który przez nikogo nie jest do tej pory analizowany. Internauta \”@OkropnyUrwis\” również pokusił się o analizę i do tego graficzną.
Przypomnijmy, że chodzi o mail, w którym dyskutowana jest kwestia użycia wojska wobec protestów związanych ze Strajkiem Kobiet.
👇
Szerzej temat samego wycieku wiadomości wyjaśniał Onet.
Dalsza część tekstu poniżej materiału wideo:
https://pulsembed.eu/p2em/SIVSGwtwg/
Jeżeli informacja o tym, że mail został wysłany z metadanymi IP sieci KPRM, jest prawdziwa, to może to oznaczać jeden z poniższych scenariuszy:
- Ministrowie korzystają w zabezpieczonej rządowej sieci z prywatnych kont do wysyłania wiadomości
- Doszło do włamania do sieci biura Premiera, co może oznaczać, że mail jest fałszywy, ale obnażałoby słabość zabezpieczeń rządowych sieci, do której dostęp uzyskały osoby z zewnątrz, które wysłały tę wiadomość
- Najmniej prawdopodobny, ale w teorii także możliwy – doszło do sfałszowania adresu IP (tak zwany IP spoofing) i podszycia się pod adres należący do biura Premiera, co byłoby zadaniem bardzo trudnym, ale wtedy można założyć, że wiadomość jest sfałszowana, a do włamania do sieci nie doszło
Metadane z rzekomej wiadomości ministra Dworczyka mogą być kolejną przesłanką, by uznać wyciek za prawdziwy, a działania niektórych członków rządu za nieodpowiedzialne – przynajmniej w obszarze bezpieczeństwa rządowych sieci.\”
Zainteresował mnie ten IP o numerze 91.198.194.12 z dnia 21.06.2021 wychodzący co nie ulega najmniejszej wątpliwości z Kancelarii Prezesa Rady Ministrów czyli Premiera Mateusza Morawieckiego ponieważ jest to ślad cyfrowy który należy koniecznie przeanalizować. Państwo zapytają zapewne dlaczego interesują mnie wszystkie nazwiska pracujące w KPRM ? Zakładam że któraś z tych osób odeszła do pewnej polskiej instytucji o której będzie w blogu poniżej a której z numerów IP łączono się z dwoma serwerami w Moskwie. Należy więc sprawdzić bardzo dużą grupę osób i zweryfikować czy jest jakiś związek między tym IP z KPRM a IP z innej ważnej polskiej instytucji.
Ale KPRM to nie jest taka zwykła \”Kancelaria\” jaką sobie wszyscy wyobrażamy . Spójrzcie Państwo na ogromną i potrzebną ilość departamentów pracujących dla szefa rządu a to jeszcze nie koniec …..
Na stronie www.gov.pl znajdziemy jeszcze takie \”MENU\”
Mamy listę doradców i asystentów politycznych mających zapewne dostęp do komputerów w KPRM
Poniżej plik stanu osobowego tej grupy na dzień 23.08.2022.
Proszę zwrócić uwagę na rubrykę \”DATA ZATRUDNIENIA\” a okaże się że tylko 3 osoby pracują od 2019 roku i nie zostały zmienione. Są to Patryk Mróz, Artur Fiołek oraz Emil Szerszeń. Nawet w \”gabinetach politycznych\” wicepremiera Jacka Sasina oraz jedynego polityka z Solidarnej Polski -Michała Wójcika wymieniono doradców …
Nas przede wszystkim interesuje lista \”doradców\” i \”asystentów politycznych \” pracujących w dniu 21.06.2021.
Niestety aby tą listę otrzymać należy zwrócić się pisemnie do BIP . Tak też zrobiłem w dniu 20.09.2022 korzystając z ustawy o dostępie do informacji publicznej.
23.09.2022.
Otrzymałem odpowiedz od p. Agnieszki Kowalskiej z Centrum Informacyjnego Rządu i cytuję :
\”W Kancelarii Prezesa Rady Minstrów nie byli i nie są zatrudniani doradcy i asystenci społeczni \”
Powyżej pokazałem Państwu że jest na stronie internetowej KPRM jest pozycja : DORADCY I ASYSTENCI SPOŁECZNI \” więc myśląc sobie że pani sekretarz chyba żle mnie zrozumiała ,wysłałem kolejnego maila wraz z skanami ze oficjalnej strony którą Państwu pokazałem wyżej …
W moim mailu prosząc BIP KPRM o informację oczywiście pomyliłem się bo chodziło mi o asystentów politycznych a nie społecznych ale Sekretarz Agnieszka Kowalska w mailu z dnia 3.10. 2022 z wysłała mi listę z czerwca 2021 roku.
Tak jak pisałem wcześniej trzy nazwiska z tej listy nie podlegają analizie ponieważ pracują cały czas w KPRM . Na tej liście to pozycja 11,14 i 15. Jeżeli żadna z tych osób nie przeszła do pewnej instytucji to będziemy pytać BIP o osoby pracujące w CIR i innych Departamentach w czerwcu 2021. Żmudna to praca ale należy ją wykonać. Na otrzymanej liście jest jedno nazwisko do którego mam podejrzenia ale nie mogę tego nazwiska upublicznić . Najchętniej to bym zapytał się BIP kto z pracowników KPRM mógł mieć dostęp do rządowego komputera o interesującym nas numerze IP 91.198.194.12 ale podejrzewam że takiej informacji nikt mi nie udzieli nawet w trybie ustawy dostępu do informacji publicznej. Muszę więc po kolei pytać się o poszczególne jednostki organizacyjne będące w strukturze KPRM .Na drugi \”ogień\” wysłałem więc w dniu 9.10.2022 maila o nazwiska pracowników Centrum Informacyjnego Rządu pracujących w czerwcu 2021.
W dniu 24.10.2022 otrzymałem odpowiedz z BIP CIR która każe mi czekać z analizą nazwisk przynajmniej do 9.12.2022….
Nie będę czekał a jeśli otrzymam tą listę to wtedy ją przeanalizuję czy któraś osoba mająca dostęp do tego IP w KPRM mogła pójść pracować do pewnej polskiej ważnej instytucji z której łączono się z dwoma serwerami w Moskwie / jest cyfrowy ślad/ o czym będzie poniżej. .
10.06.2021.
No proszę co my tu mamy ! Jeśli nawet Białorusin dla zmylenia go czytających napisał że \”Myśleliśmy przez 4 miesiące ,żeby powiedzieć tak sprytnie i postanowiliśmy zwalić wszystko na rosyjskich hakerów\” czy \”wyczyny\” K. Kotowicza którego \”zakrywają po takiej ośnieżnicy \” o których miał wiedzę ,to należy spróbować \”wyciągnąć\” wszystko od niego i o nim samym korzystając czy to z jego konta na Telegramie czy też z rosyjskich lub białoruskich mediów społecznościowych a i przyjrzeć się K. Kotowiczowi i innym .
Postanowiłem zrobić research aby dowiedzieć się \”WHO IS WHO\” i przyjrzeć się bardziej kilku kontom na białoruskim Telegramie pomijając już konto Jurija Tierecha / poniżej na zdjęciu / o którym szerzej w poniższym artykule pisała redaktor Anna Mierzyńska.
👇
Tego powyższego posta i \”dobrych rad\” w nim zawartych białoruskiego publicysty nie ma co tłumaczyć…to się samo przede wszystkim graficznie tłumaczy. Powiem Państwu tylko że to jest cała siatka świetnie zorganizowanych i ściśle współpracujących ze sobą kont o podobnym profilu nacjonalistycznym. Wszystkie te konta łączy jedno sporej wielkości konto / ponad 77 tyś subskrybentów/ – \”Żółta Siła\” które jest \”pasem transmisyjnym\” dezinformacji, propagandy białoruskiego reżimu , nienawiści do Litwy , Łotwy, Estonii i oczywiście do Polski bez rozróżniania barw politycznych.
Oto przykłady wzajemnego wsparcia i powiązań.
Pozdrowionko podobne jak i u naszych \”białej siły\”
My to dla nich bezwartościowe i to wszyscy bez wyjątku -określani z ich poczuciem własnej wyższości -\”Poljaki\” i w tym przypadku bez żadnego rozróżniania przez nich barw czy sympatii politycznych – wszyscy w Polsce są \”reżimem\”. W powyższym poście jest \”reklama\” jeszcze jednego ciekawego konta .
NEWOLF. Konto to działa od stycznia 2021 r.
Mimo \”dokopania\” się do momentu założenia konta nie mogłem ustalić personaliów jego właściciela choć zdradził coś w pierwszym poście i kilku następnych na początku 2021 roku , chwaląc białoruskiego generała KGB -Aleksandra Volfovicha….Volfowicz...a tu pseudonim \”Nevolf\”…Konto ma 6 tyś subskrybentów i stricte poświęca wszystkie swoje posty informacje wojsku i służbom białoruskiego KGB….dziwne mam skojarzenia. Jest agresywny w stosunku do naszego kraju. To jego post z początku maja 2021…
Konto \”Neovolf\” jest promowane przez konto \”Tajna Europa 2.0\”…..
Zanim powstało konto \”Tajna Europa 2.0 \” wcześniej powstało 5.02.2021 konto \”Tajna Europa\”
Ponieważ redaktor Anna Mierzyńska niestety ku mojemu przerażeniu nie zdawając sobie sprawy z swej krótkowzroczności i tego że jest \”rozgrywana\” a więc zapewne ku skrywanej radości białoruskich hakerów którzy i można to przyjąć i jest na to dowód w postaci promowanemu przez nich hasztaga #DworczykLeaks czytają ją jako pierwsi , \”wyprodukowała\” dla portalu OKO PRESS co prawda merytoryczne ,krótkie analizy ,jedną po drugiej ale koniec każdej z tych analiz był zawsze obarczony znakiem zapytania . Niestety co z resztą można się było tego spodziewać ,spowodowało to też na samym początku szybkie zawieszenie przez ABW ,obserwowanych przez mnie kont i wyciągnięcia z nich więcej informacji a pózniej to już wszyscy zaczęli pisać o aferze z maili co prawda to trudno jest mieć im za złe ale niestety znacząco zwiększyli celowo bądz nie celowo – zasięgi hasztagów \”MaileDworczyka , #DworczykGate i #DworczykLeaks ,co było niestety na \”rękę\” hakerom.
To post z 4.08.2021 na kanale Telegram wspomnianego właśnie portalu \”Tajna Europa 2.0\” współpracującego z kontem \”Nevolf\” i innymi nacjonalistycznymi białoruskimi kontami tym razem cytujący artykuł dla portalu OKO PRESS którego napisała redaktor Anna Mierzyńska.
Tylko dwa razy hakerzy posłużyli się polskimi artykułami. Raz w przypadku portalu DO RZECZY i raz właśnie w przypadku portalu OKO PRESS ale w tym drugim przypadku dwa razy wykorzystali hasztag #DworczykLeaks . Dla mnie była to w tym akurat przypadku to też jest ważna informacja.
20.08.2021.
I znowu wykorzystany jest przez hakerów tweet redaktor Anny Mierzyńskiej natomiast co ciekawe ani razu nie była przez nich \”cytowana\” redaktor Anna Gielewska która przecież zrobiła wespół z innymi dziennikarzami znakomite analizy.
Dlaczego akurat redaktor Anna Mierzyńska a nie inni dziennikarze śledczy piszący o tej sprawie ?
Dlaczego też chodzi hakerom o ten hasztag a nie inny anglojęzyczny #DworczykGate ? Zapewne chodziło hakerom o \”zasięgi\” i \”rozpoznawalność\” medialną dziennikarki w internecie oraz obu hasztagów. Poprosiłem portal OSINQUEST który zrobił porównanie obu hasztagów.
Poprosiłem również portal EMOCJE W SIECI który zrobił zestawienie kont \”generujących\” największe zasięgi hasztagowi #DworczykLeaks
Pozwoliło to przecież nawet po licznych perturbacjach o czym pisałem wcześniej ,otworzyć polskojęzyczną stronę \”POUFNA ROZMOWA\” , całkiem o dziwo dobrze \”redagowaną\” w języku polskim i bez specjalnych błędów wskazujących że strona jest prowadzona przez osobę lub też osoby na co dzień używające cyrylicy…Przykro mi to pisać ale określenia \”pożyteczny idiota Kremla \” lub \”słup reklamowy\” nabiera całkiem nowego znaczenia kiedy wybierając konkretny hasztag przy okazji można \”obserwować\” analityczkę piszącą nie tylko dużo ale przy okazji \”generującą\” \”zasięg \” oddziaływania hasztagu poprzez ilość swoich Followersów….
Pisać artykuły owszem można i trzeba ale wtedy kiedy ma się naprawdę bardzo dużo ważnych informacji ale choć rozumiem tą młodą, niezwykle ambitną i żądną medialnego sukcesu czy rozpoznawalności w mediach telewizyjnych – dziennikarkę /artykuły to też finansowe zródło utrzymania /to w tej konkretnej i niezwykle poważnej sprawie pozwala hakerom na całkiem niezłą orientację jak na bieżąco w Polsce wygląda stan i poziom konkretnych \”wycieków\”…..
2 .02.2021 został upubliczniony plik COMB21 lub Breachcomp2.0 zawierający ogromną bazę wykradzionych danych z adresami mailowymi i hasłami do nich w tym dane z adresami dotyczącymi Polski.
5 .o2.2021 powstał pierwszy kanał na Telegramie.
8 .02.2021 @Ludazhor czyli Jurij Tierech napisał posta dotyczącego Karola Kotowicza.
👇
| Syhunt COMB: Wielki wyciek hasła| Syhunt COMB: Wielki wyciek hasła
Można się zastanawiać kto mógł wiedzieć o tym gigantycznym wycieku oprócz hakerów z Wschodu którzy mogli go wykorzystać \”mieszając\” maile tak aby nie można można było ustalić zródła.
Redaktor Anna Mierzyńska właśnie w jednej ze swoich niezwykle licznych analiz dla portalu OKO PRESS napisała taką informację :
\”20 kwietnia portal Niebezpiecznik.pl ujawnił, że w Polsce doszło do wycieku danych osobowych 20 tys. funkcjonariuszy, w pliku pochodzącym z Rządowego Centrum Bezpieczeństwa. Ten wyciek mógł nie być bezpośrednio powiązany z COMB21, ale z informacji medialnych wynika, że po jego ujawnieniu w RCB wykonano audyt cyberbezpieczeństwa i zabezpieczono wszystkie możliwe miejsca wycieku.
To ważne, ponieważ daty powstania opublikowanych dotychczas na Telegramie dokumentów rządowych i maili kończą się na 22 kwietnia. Zupełnie jakby właśnie wtedy hakerzy utracili dostęp do źródeł informacji. Czy stało się to w wyniku audytu w RCB? Czy właśnie wtedy odkryto, że ktoś z zewnątrz ma dostęp do danych?\”
👇
Moim zdaniem zbyt pochopnie jeszcze za wcześnie było wtedy na aż takie stanowcze wnioski i to w momencie kiedy dopiero co poznało się zaledwie bardzo małą cząstkę maili nie mając wtedy jeszcze większej wiedzy a przecież RCB w żaden sposób nie odniosło się i nie odpowiedziało na pytania redakcji i nie można było liczyć że po artykule publicznie odniosą się do tej tezy skoro trwa śledztwo.
Czy rzeczywiście wyciek maili zakończył się na dacie 22.04.2021 tak jak twierdzi redaktor Anna Mierzyńska ?
15.06.2021 i 25.06.2021 upublicznione zostają maile z datą –23.04.2021
Ktoś z hakerów chyba codziennie \”czyta\” redaktor Annę Mierzyńską i postanowił spłatać jej figla .
1.07.2021. Twitter
Portal \”ZAUFANA 3 STRONA \”
Jeśli wierzyć najnowszym publikacjom z kanału ujawniającego dane wykradzione ze skrzynki Dworczyka, to włamywacze mieli dostęp także do jego skrzynki sejmowej I TO 6 DNI PO UJAWNIENIU AFERY (co najmniej do 14 czerwca).
11.07.2021. Upubliczniony został mail z 26.05.2021. Przejrzałem wszystkie maile i wiadomo że od tej pory nie upubliczniono już maila z nowszym datowaniem.
Nawiasem mówiąc to dwa dni pózniej tj.28.05.2021 miałem już pierwszą wiedzę o ataku hakerów i wysłaniu tweetów z zhakowanego konta @katarzyna_kozon na konta Premier B. Szydło i europosła Tomasza Poręby.
16.07.2021 TVP Info informuje że w wyniku działań władz zamknięto 2 konta \”Poufnej Rozmowy\” na Telegramie a w tym samym dniu wspomniany wyżej białoruski portal \”Tajna Europa 2.0 \”
Przetłumaczę tylko pierwszy i moim zdaniem najciekawszy fragment tego posta:
\”Dziś wieczorem otrzymaliśmy wiadomość od naszych polskich przyjaciół. Okazało się że ich kanał \” Poufna Rozmowa\” na którym zamieszczali korespondencję najwyższych urzędników Polski zrobił taki szum że zmusili polski rząd do radykalnych działań\”
Tyle cytat. Dalej napisali o grożbie zablokowania kanału.
16.07.2021 pojawiają się kompromaty. Czy była to natychmiastowa reakcja hakerów na akcję służb i rządu ? Napiszę jeszcze pózniej o tym.
26.07.2021 pojawia się znana strona – \”POUFNA ROZMOWA\” a pierwszym \”postem\” na niej był wyciek korespondencji urodziwej posłanki PIS / jedna z dawnych \”aniołków Kaczyńskiego\”/ Anny Rodziewicz -Schmidt ,zresztą byłej współpracowniczki / odeszła z KPRM w grudniu 2020 r/ będącej wcześniej współpracowniczką Adama Lipińskiego , szarej eminencji z tzw \”Zakonu PC\” / tego kiedyś nagranego w korupcyjnej rozmowie z Renatą Berger/ \” do Michała Dworczyka opatrzony wymownym zdjęciem z wycelowanym karabinem.
Zajrzyjmy do maila \”inaugurującego \”Poufną Rozmowę \”.
Mail jest z 2017 r a p. poseł Anna Rodziewicz-Schmidt używa poczty gmail.
Ciekawym aspektem jest tytułowe zdjęcie użyte przez hakerów. Nie jest łatwo znaleźć w internecie zdjecie z karabinem p. Anny Schmidt Rodziewicz . Zastanawiam się czemu akurat to zdjęcie znaleziono i wstawiono. Czy ma to być dezinformacja kierująca na fałszywy trop czy też \”wskazówka\” z strony hakerów ? Innych wykradzionych maili urodziwej p.poseł do tej pory hakerzy nie upublicznili a pomijam milczeniem ten filmik z hotelu na którym nie można nikogo zweryfikować na 100 %.
Czy w aferze mailowej należy brać pod uwagę tzw \”wątek obyczajowy\” ? Niestety muszę przyznać to z smutkiem że tak, tą \”ścieżkę\” ze względu na ujawnione do tej pory zdjęcia / kompromaty/ nie należy wykluczyć.
W kontekście tej afery da się zauważyć niezwykle powolne działania choćby Służby Kontrwywiadu Wojskowego która podlega obecnemu ministrowi obrony Mariuszowi Błaszczakowi typowanemu na następcę obecnego Premiera czy też Prokuratury podległej innemu przeciwnikowi \”teamu Morawieckiego\” – Prokuratorowi Generalnemu i Ministrowi Sprawiedliwości Zbigniewowi Ziobrze… Nie ma też o dziwo żadnych wycieków maili dotyczących polityków Solidarnej Polski czy polityków związanych z wspomnianym wcześniej Zakonem PC mocno co tu pisać nieprzychylnemu Mateuszowi Morawieckiemu i jego szefowi Kancelarii przed którym wcześniej stała świetlana polityczna kariera…..ciekawą też rolę w tym wszystkim odgrywają ludzie blisko związani lub pracujący dla Agencji Bezpieczeństwa Wewnętrznego podległej ministrowi Mariuszowi Kamińskiemu…widać wyrażnie że hakerzy wiedzą na bieżąco jaka jest sytuacja polityczna w Polsce i \”grając\” na podziały ,\”dobierają\” maile stosując wszystkie elementy dywersji psychologicznej o której nie raz pisałem czy to w blogach czy też na Twitterze..
Inna też ciekawą sprawą jest wpis na tej stronie pochodzący z 26.08.2021 a zawierający list o odejściu Prezesa Porozumienia który był datowany 15.08.2021. Podpisano post \”Od czytelników\” a ja jednak logika śledcza każe zastanawiać się kto ma dostęp do możliwości publikowania na tej stronie i kto jest tym \”polskim przyjacielem\” dla wspomnianego wyżej białoruskiego i rosyjskojęzycznego portalu \”Tajnej Europy 2.0\” na którym są rzadko publikowane tylko posty o znacznie \”cięższym gatunku\”, wspomniany na początku bloga artykuł redaktor Mierzyńskiej z użyciem przez hakerów hasztagu #DworczykLeaks czy tematy militarne ? Jedno jest pewne że rosyjskojęzyczny ,białoruski portal \”Tajna Europa 2.0\” wymaga cały czas bacznemu przyglądaniu się.
Być może szukam niepotrzebnie \”podprogowego\” podtekstu do tej afery ale nie można niczego wykluczyć zwłaszcza kiedy w archiwum w Moskwie są kompromaty z filmikami ale od samego początku zwraca uwagę zastanawiając nie tylko niezwykła wprost rozpiętość i \”rozrzut\” tematyki i spraw ale jakikolwiek brak logicznej kolejności chronologii upublicznianych maili . Z jednej strony wiadomo że \”dozowanie\” tematyki jest ściśle kontrolowane przez hakerów którzy na bieżąco śledzą nie tylko sytuację w Polsce ale też analizy ich dotyczące ale poprzez brak chronologii ukrywa się cokolwiek co pozwoliłoby wpaść śledczym instytucjom i dziennikarzom a osoby z Polski które mogą prowadzić swój wyciek korzystając z okazji że mówi się i pisze tylko o hakerach z Białorusi czy Rosji. Nie można wykluczyć i takiej hipotezy ponieważ musi nasuwać się pytanie kto w Polsce \”korzysta\” i komu zależy na publikacjach z wycieku maili ?
Nigdy nie ujawniam ani zródeł niektórych swoich informacji ani wszystkich \”operacyjnych\” technik mojej pracy researchera ale udało się ustalić jedno z IP dla strony \”Poufnej Rozmowy\” : 172.67.195.30
A teraz trzeba tylko potwierdzić tą informację w innym miejscu oraz ustalić dokładną lokalizację serwera w USA .
Miasto :San Francisco
Kod pocztowy : 94107
Ulica: 107 Townsend Street a koordynaty dla satelity też są podane.
W tym budynku powinny się mieścić serwery CLOUDFLARE
No i mieszczą się, wszystko się zgadza 🙂 . Umieszczanie stron na serwerach takich jak CLOUDFLARE w USA to zresztą powszechnie stosowana praktyka.
Dzięki wykreowaniu przez rosyjskie ośrodki propagandowe rzekomego „starcia” pomiędzy właścicielem –Pawłem Durowem, a Kremlem –Telegram jako niby platforma niezależna , może swobodnie działać na obszarze Rosji utrzymując tam nawet swoje serwery a rosyjskie służby specjalne i zapewne hakerzy ,mogą swobodnie realizować swoje cele przy wykorzystaniu platformy, a do tego Paweł Durow może czerpać dywidendy z ogromnego rynku państw rosyjskojęzycznych .
Bardzo też ciekawa analiza ukazała się na portalu Centrum Badań nad Współczesnym Środowiskiem Bezpieczeństwa w dniu 5.07.2021 autorstwa Michała Jurka . pozwolę sobie na przedstawienie jej w całości a na dole jest link do tego artykułu.
👇
„Białoruski” ślad w operacji dot. ataku na skrzynkę M. Dworczyka – analiza działalności ośrodka propagandowego „Belvpo.
W związku z pojawiającymi się w przestrzeni informacyjnej przekazami na temat zaangażowania źródeł białoruskich w operację dotyczącą ataku m.in. na skrzynkę ministra Dworczyka, podjęliśmy się analizy dostępnych informacji o jednym z „białoruskich źródeł” – to jest portalu „Belvpo”.
Zgodnie z uzyskanymi wnioskami portal „Belvpo” oraz prowadzony przez to środowisko kanał Telegram wydają się być środowiskiem medialnym imitującym źródło białoruskie. Warto na początku odwołać się do analizy opublikowanej już w 2016 roku przez międzynarodowe środowisko OSINT – „InformNapalm”. Zgodnie z materiałem Inform Napalm-u (pt. „BelvpoLeaks: propagandowa rezerwa przyjaciół Ruskiej Wiosny„), portal „Belvpo” został objęty działaniami OSINT ze względu na swoją aktywność skierowaną przeciwko białoruskiemu dziennikarzowi Dzianisowi Iwaszynowi (obecnie przetrzymywany w białoruskim więzieniu) oraz ze względu na zaangażowanie w proces dezinformacyjny skierowany przeciwko państwu białoruskiemu (destabilizacja sytuacji wewnętrznej w kraju) i ukraińskiemu. Wnioski uzyskane z analizy działań portalu oraz powiązań osób odpowiedzialnych za jego prowadzenie pozwalają sądzić, że „Belvpo” stanowi element rosyjskiej sitaki portali zaangażowanych w działania, m.in. z zakresu szerzenia antyukraińskich treści propagandowych i dezinformacyjnych (realizowanych w związku z wybuchem wojny na Donbasie).
Jeśli chodzi o powiązania „Belvpo”, portal ten jest jednym z oficjalnych partnerów rosyjskiego projektu „Imperia” prowadzonego przez obywatela Białorusi, na stałe mieszkającego w Moskwie, Jurija Barańczyka. Osoba ta, jest ponadto redaktorem naczelnym jednego z rosyjskich portali informacyjnych trwale zaangażowanych w działania dezinformacyjne na kierunku polskim i ukraińskim – „Regnum.ru”. Sam projekt „Imperia” stanowi natomiast portal związany z rosyjskim ruchem nacjonalistyczno-monarchistycznym – tzw. „Czarnosoteńcy”.
Screen wykonany na portalu „Imperia”. Wśród partnerów wskazano m.in. „Belvpo”, „Regnum” i „Fundację Ruski Mir” (https://www.imperiyanews.ru).
Zgodnie z treścią wskazanej analizy wykonanej przez środowisko Inform Napalm-u, portal „Belvpo” został założony przez Igora Siniakowa (ur. 1962, wywodzącego się z rodziny rosyjskich wojskowych, mieszkającego w Mińsku, od 2005 pułkownika rezerwy) oraz Siergiej Giejstera (ur. 1960, prof. nauk technicznych, wykładowca na Katedrze Systemów Radiotechnicznych Białoruskiego Państwowego Uniwersytetu Informatyki i Radioelektroniki). Związek I. Siniakowa z portalem potwierdza m.in. wpis umieszczony na portalu „Belvpo”, w którym osobę tą określa się mianem „lidera projektu”. I. Siniakow, pomimo tego, iż został określony liderem danego środowiska nie podjął się publikowania na łamach portalu (fakt ten może wskazywać na to, iż udział tej osoby w projekcie ma jedynie charakter kreowania „Belvpo” na źródło białoruskie). O związku z portalem drugiego z mężczyzn, to jest S. Giejstera, świadczą m.in. dokumenty przedstawione w materiale InformNapalm-u. Nazwisko Giejstera pojawia się m.in. w umowie podpisanej z operatorem telekomunikacyjnym – rachunki te odnaleziono na skrzynce pocztowej „belvpo.com@yandex.ru” (materiał pozyskany w efekcie działań ukraińskich hakerów – „Ukraiński Cyber Alians”).
Numer komórkowy S. Giejstera był również związany z usługą hostingową portalu. W efekcie analizy wiadomości dostępnych na poczcie „Belvpo”, uzyskano wnioski o podjęciu przez osoby prowadzące portal decyzji o zatuszowaniu faktu powiązania S. Giejstera z „Belvpo”. W tym celu zastąpiono jego numer telefoniczny numerem innej osoby (Walentyny Torgun – ur. 16.07.1985, zam. Mińsk, osoba wydaje się być „słupem” niezwiązanym z działalnością portalu). Zmiana numeru została sprowokowana przez problemy dot. prowadzenia portalu – formalności odnoszące się do usług hostingowych. W efekcie napotkanych kłopotów, doszło do tego, że osoby odpowiedzialne za działalność portalu musiały podjąć się falsyfikacji dokumentu notarialnego, aby poprzez ten zabieg dopełnić formalności i ponownie aktywować stronę internetową. W analizie Inform Napalm-u przedstawiono informacje dot. falsyfikacji dokumentu notarialnego poprzez skopiowanie podpisu notariusza i umieszczenie go na innych dokumentach.
Podpis na obu dokumentach dotyczących przerejestrowania domeny jest identyczny. Dokument odnosi się do nazwiska Alexander Voznicki. Jest to zapewne osoba, na którą początkowo zarejestrowano domenę, a której numer nie odpowiadał na kontakt ze strony operatora. Z tego powodu zamieniono tymczasowo numer telefonu na nr. S. Giejstera. W celu ukrycia jego związku z portalem, numer został kolejno zastąpiony numerem telefonicznym W. Trogun. Najpewniej ze względu na brak możliwości kontaktu z A. Voznickim zdecydowano się również na przygotowanie fałszywego aktu notarialnego.
Zgodnie z analizą publikacji udostępnianych przez portal, jedną z kluczowych osób wspomagających działalność „Belvpo” był obywatel Federacji Rosyjskiej, Wiaczesław Riaużin. Mężczyzna ten jest jedną z osób odpowiedzialnych za koordynowanie działań rosyjskiego ruchu nacjonalistyczno-monarchistycznego – „Ruch Narodowo Wyzwoleńczy” (tzw. „NOD”). Osoba ta znana jest ponadto z aktywnej kooperacji z rosyjskimi ośrodkami propagandowymi takimi jak News Front. W. Riaużin, w przeciwieństwie do wymienionych założycieli portalu aktywnie publikowała na łamach „Belvpo”. Jego zaangażowanie w dany projekt potwierdza tezę, zgodnie z którą „Belvpo” stanowi jedno z elementów rosyjskiej siatki portali wykorzystywanych do prowadzenia operacji wpływu m.in. przeciwko Ukrainie.
Zaprezentowane w raporcie InformNapalm-u informacje potwierdzają wcześniejsze przypuszczenia dotyczące tego, iż środowisko „Belvpo” imituje źródło białoruskie wykorzystując obywateli białoruskich do legitymizowania i prowadzenia portalu oraz konta na platformie Telegram. Powiązania oraz działalność tego źródła pozwalają identyfikować go jako element rosyjskiej siatki portali i kanałów aktywnie wykorzystywanych do prowadzenia operacji wpływu oraz działań dezinformacyjnych. Można przypuszczać, że wskazani założyciele portalu pełnią funkcję elementu tworzenia „legendy” portalu, a za samo prowadzenie działalności tego źródła odpowiadają rosyjskie służby. Dzięki takiemu zabiegowi (imitowanie źródła białoruskiego), strona rosyjska może poprzez jego użycie kierować podejrzenia państwa, którego dotyczy dana operacja w stronę Mińska, a nie Moskwy.
Bieżąca analiza materiałów publikowanych na portalu „Belvpo” oraz materiałów udostępnianych na łamach kanału Telegram prowadzonego przez to środowisko, potwierdza wnioski przedstawione w materiale „InformNapalm”. Środowisko to nadal stanowi element siatki rosyjskich źródeł aktywnie wykorzystywanych w procesie dezinformacji oraz w ramach prowadzonych operacji informacyjno-psychologicznych. Kanał Telegram prowadzony w ramach „Belvpo” aktywnie udostępnia materiały kanałów zidentyfikowanych jako trwale powiązane ze strukturami państwa rosyjskiego odpowiedzialnymi za działania propagandowe. Kanał popularyzuje nie tylko materiały dezinformacyjne, lecz m.in. wpisy jednego z rosyjskich kanałów, który używany jest w ramach operacji podobnej do tej, która dotyczy „wycieków” danych ze skrzynki M. Dworczyka. Wpisy owego kanału zawierają rzekomo tajne informacje dot. ukraińskiej armii. Działalność kanału stanowi element operacji mającej na celu obniżanie morale ukraińskiej armii oraz podważanie zaufania ukraińskiego społeczeństwa do instytucji państwa oraz SZ Ukrainy.
Przykład wpisu wspomnianego kanału udostępniony przez „Belvpo”.
Portal „Belvpo” oprócz oddziaływania poprzez Telegram, prowadzi fanpage na portalu społecznościowym Facebook. Podobnie jak poprzez Telegram, przy użyciu fanpage-a popularyzowano (do 27 kwietnia – wówczas wstrzymano działalność) artykuły i wpisy konstruowane przez osoby zaangażowane w projekt „Belvpo”.
Warto w tym miejscu zaznaczyć, że sam wygląd oraz sposób prowadzenia fanpage-a „Belvpo” przypomina wyraźnie jeden z polskojęzycznych źródeł, którego działalność prowadzona na portalu społecznościowym Facebook, również została wstrzymana w kwietniu b.r. (2 kwietnia) – „Konflikty i Wiadomości Światowe”.
Warto podkreślić, że fanpage „Konflikty i Wiadomości Światowe” jest źródłem o charakterze ośrodka wprowadzającego do polskiej infosfery tezy i materiały zbieżne z rosyjskim przekazem propagandowym. Środowisko to przejawiło swoją szczególną aktywność w momencie eskalacji napięć w relacjach rosyjsko-ukraińskich (marzec b.r.). To wówczas zwróciliśmy uwagę na dezinformacyjny charakter tego środowiska (wpis z 15.03.2021).
Środowisko to opublikowało m.in. wpisy o zbliżającej się ofensywie wojsk Ukrainy czy o użyciu na Donbasie aparatów Bayraktar TB2. Fanpage ten brał ponadto aktywny udział w rosyjskiej operacji wpływu dot. marcowej eskalacji napięć.Na łamach „Konfliktów i Wiadomości Światowych” publikowano również szereg przekazów kreujących negatywny obraz Zachodnich szczepionek przeciwko Covid19. Udostępniano również materiały kreujące obraz panującego na Zachodzie powszechnego sprzeciwu wobec obostrzeń związanych z pandemią. Równolegle środowisko to lobbowało pozytywny obraz szczepionki Sputnik V.
Przykłady wpisów – dostrzegalne błędy fleksyjne i rzeczowe takie jak „w Nederlandii”.
Warto również zaznaczyć, że zdarzały się przykłady publikowania w tym samym dniu tych samych materiałów zarówno przez „Bielvpo” jak i „Konflikty i Wiadomości Światowe”. Wskazane zjawisko następowało jednak w sposób sporadyczny i mogło mieć charakter przypadku. Relatywnie nieczęste pokrywanie się tematyk wpisów wynikać może z różnicy w profilu prowadzonej aktywności obu portali/fanpage-ów. „Konflikty i Wiadomości Światowe” koncentrowały się bowiem na informowaniu o wydarzeniach zachodzących na Białorusi w Rosji i na Ukrainie, natomiast „Belvpo” koncentrowało się na wydarzeniach zachodzących w krajach takich jak Polska, Litwa czy Niemcy.
Przykład publikowania podobnej treści – 15 marca. Wpis umieszczony na fanpage-a „Konflikty i Wiadomości Światowe” oraz na kanale „Belvpo” na Telegramie.
Wskazaną aktywność „Konfliktów i Wiadomości Światowych” polegającą na wprowadzaniu do polskiej infosfery przekazów zbieżnych z rosyjską propagandą uzupełniano o lobbowanie na rzecz Telegramu. Aktywność tą można łączyć z jednym z celów operacji dot. ataku na skrzynki M. Dworczyka. W jej efekcie doszło w Polsce do znacznego zainteresowania Telegramem oraz do prawdopodobnego przyrostu liczby osób korzystajacych z danej platformy.
Przykład lobbowania na rzecz Telegramu. Kreowanie platformy na „niezależną”, odporną na „Zachodnią cenzurę”.
Wskazane dane oraz wnioski pozwalają sądzić, że działalność portalu i kanału „Belvpo” koordynowana jest przez służby rosyjskie. Przedstawione informacje pozwalają sądzić, że zasadnymi wydają się przypuszczenia, zgodnie z którymi kanał i portal „Belvpo” pozoruje jedynie źródło białoruskie – przypuszczenia te wzbudził fakt korzystania przez portal z domeny „com”, a nie „by” oraz fakt wykorzystywania przez administratorów tego ośrodka, rosyjskiego hostingu oraz rosyjskich adresów e-mail.
„Belvpo” wydaje się być elementem rosyjskiej siatki używanej do prowadzenia operacji na kierunku ukraińskim, białoruskim oraz od 2020 roku również na kierunku polskim. Przedstawione wnioski pozwalają sądzić, iż mało prawdopodobną wydaje się być teza, zgodnie z którą operacja dot. wycieku materiałów ze skrzynki M. Dworczyka prowadzona jest przez służby białoruskie (teza ta pojawiła się w debacie publicznej bazując m.in. na informacjach o zaangażowaniu w proces kanału i portalu „Bielvpo”). Wysoce prawdopodobnym jest, że środowisko to zostało ponadto zaangażowane w proces oddziaływania na polskie społeczeństwo (działalność ta ze względu na niską efektywność została zapewne wstrzymana w kwietniu, kiedy być może zdecydowano się na przeprowadzenie operacji dot. ataku m.in. na skrzynkę M. Dworczyka). Zasadnym wydaje się być założenie, zgodnie z którym zastosowanie „Belvpo” w procesie kolportowania materiałów odnoszących się do skrzynki M. Dworczyka, miało na celu zwrócenie potencjalnej uwagi polskich służb lub fakt checker-ów na Mińsk jako źródło operacji.
Autor: Michał Marek
fot. Komputer Świat
Tutaj link do tego artykułu.
👇
Trochę śledczej pracy mi zajęło aby znależć serwer na którym jest archiwum \”Poufnej Rozmowy\” wraz informacjami kiedy poszczególne dokumenty zostały umieszczone na tym serwerze.
👇
POUFNA ROZMOWA ARCHIWUM – Exported Data (freecluster.eu)
Mamy na nim nie tylko dokumenty niejawne umieszczane od 4.06.2021 ale też tzw kompromaty a wiec materiały o charakterze obyczajowym , zobaczcie Państwo sami. Ze względu na ochronę tajemnicy i bezpieczeństwa przedstawię z tego archiwum tylko wybrane fragmenty i to tak na wszelki wypadek gdyby przeniesiono je w inne miejsce lub skasowano usuwając w ten sposób jeden z najważniejszych dowodów przestępstwa. Mając do dyspozycji archiwum hakerów lub hakera spróbujmy chronologicznie zobaczyć ze względu na tajemnicę państwową i bezpieczeństwo narodowe jedynie niektóre fragmenty jego \”zawartości\” korzystając z możliwości posiadania dat i godzin umieszczenia poszczególnych plików.
Jak widać na powyższym skanie w dniu 4.06.2021 o g.14:24 umieszczono pierwszy wyciek oraz plik dotyczący wykazu służb państwowych uprawnionych do szczepień w I etapie. Proszę też zwrócić uwagę na wykorzystanie na poniższym skanie jednego z podstawowych kanonów rosyjskiej dywersji psychologicznej jaką jest brak rozróżniania czy faworyzowania jakiejkolwiek opcji politycznej. Nazwanie pliku z wykradzionymi mailami -\”POLSKI SEDES\” wymownie pokazuje jaki jest stosunek rosyjskich hakerów do wszystkich Polaków bez wyjątku . To też pokazuje sposób myślenia hakerów aby polaryzując krajową scenę polityczną -dzielić nas i w ten sposób dyskredytując – osłabiać Polskę .
To były niestety ale już nie są niejawne dokumenty.
10.06.2021. Godzina 9:44
29.06.2021 . Godzina 8:42
14.06.2021. Godzina 8:31
25.06.2021. Godzina 9:32
22.06.2021 .Godzina 9:56
9.07.2021. Godzina 10:01.
14.07.2021 . Godzina 8:28.
15.07.2021. Godzina 8:20 . Ten dzień w archiwum widnieje jako ostatni datowany. Są w nim 2 kompromaty .
Udało się zdobyć te niezwykle cenne i ważne informacje choć wiem że byłaby to praca tytaniczna -\”archiwum\” z Moskwy choćby z wyciekiem ponad 4 tyś maili będących na pliku COMB21 z 2.02.2021 / który dotyczył wielu kont Polski. Choć nie ma żadnej gwarancji że archiwum hakera / lub hakerów bo tego nie można wykluczyć jest w Moskwie kompletne. W tym archiwum co ciekawe oprócz dokumentów o charakterze niejawnym są i było też wcześniej wiele kompromatów . Mówię tu o materiałach zdjęciowo- filmowych których skany umieściłem na końcu. Najprościej tłumacząc \”kompromaty\” to materiały specjalnie wytworzone a służące do szantażu ,pochodzące z głównie z nielegalnych nagrań czy podsłuchów ,najczęściej sfabrykowanych spotkań o charakterze erotyczno-seksualnym.
25.09.2022
A więc na \”POLSKIM SEDESIE\” był też filmik z erotycznymi tańcami ale został z jakiegoś powodu usunięty przez hakerów…
\”Archiwum\” to co jest też ciekawe jest na serwerze …..w budynku należącym do rosyjskiego Ministerstwa Rolnictwa w Moskwie.
Na poniższym zdjęciu satelitarnym przedstawiona jest geolokalizacja tego rządowego obiektu .
A tak wygląda na satelitarnych widokach z ulicy.
To jest nawet sprytne bo nikt nie podejrzewałby akurat tamtego miejsca a prędzej już w słynnym \”AKWARIUM\” lub innych miejscach w Moskwie związanymi z GU /GRU/ czy SVR . Jednakże faktem jest że nawet w Ministerstwie Rolnictwa jest specjalna komórka związana z największą oraz z najpotężniejszą służbą specjalną w Rosji – FSB czyli rosyjskim kontrwywiadem ,\”monitorująca\” z całą pewnością ruch sieciowy na serwerach i bez jej zgody nie byłoby możliwym umieszczenie tam archiwum hakerów nawet z \”zaprzyjaznionego\” ale jednak obcego państwa więc de facto jest to pierwsze prawdopodobne potwierdzenie jakichkolwiek związków białoruskich hakerów z rosyjskimi służbami…..
Nie można też wykluczyć takiej opcji że to \”archiwum\” nie założyli żadni hakerzy z Białorusi a wtedy są tylko dwie opcje:
Rosjanie lub….ktoś z Polski mający jakiś stary lub nowy \”układ\” w rosyjskim ministerstwie rolnictwa a chcący zdyskredytować ekipę obecnego Premiera. Wskazuje bowiem na taką hipotezę nie tylko dziwna lokalizacja ale przede wszystkim \”zawartość\” tego archiwum.
10.12.2021. Twitter.
👇
Informatyk i pentester Rafał Gill umieszcza co prawda techniczny wątek ale bardzo ciekawy.
O co chodzi w tym wątku ? Autor analizuje infrastrukturę ataków phishingowych i znalazł serwery hostowane w Moskwie a skonfigurowane z podpisanym cyfrowo certyfikatem \”PZU\”…..Ciekawe….
Zauważył też że dla drugiego adresu IP w tzw \”usłudze GOPISH\” ktoś kto ją napisał musi świetnie znać popularne polskie \”usługi \” / \”O\” , \”OU\” i \”OOH\”, emailAddress admin@wp.pl / co doskonale widać na powyższym skanie . Według autora tego wątku \”OOH\” zostało użyte jako \”Organizacja\” dla domen zarejestrowanych w kampanii phishingowej UNC1151 GHOSTWRITER.
Wszystkie te domeny odnoszą się do \”weryfikacji użytkownika lub weryfikacji bezpieczeństwa\”
Te domeny już niestety nie działają ale inny ciekawy fakt przedstawiony przez p. Rafała Gilla jest to że PZU faktycznie używa GOPHISH w wewnętrznych strukturach bezpieczeństwa. Autor zwraca też uwagę że domena \”POCZTA\” może odnosić się zarówno do Poczty Polskiej czy Interii zresztą to akurat popularny serwis pocztowy ale \”PIS\” może odnosić się do Prawa i Sprawiedliwości jak też zarówno Państwowej Inspekcji Sanitarnej.
Zaledwie kilku internautów i interesujących się informatyką przeczytało ten niezwykle ciekawy wątek. Czy można uzyskać więcej informacji dotyczących tego wątku. ?
Co wiemy ?
Mamy dwie domeny 185.156.177.92 –LLC VPSVILLE / czerwona ramka / oraz 31.41.45.112 –RELINK LTD / niebieska ramka / . Obydwie domeny są połączone / zielone strzałki / z \”ORGANIZATION PZU \”. Wróćmy więc jeszcze raz do pierwszego skana i sprawdzmy najpierw do kogo należy \”LLC VPSVILLE .\”
Możemy sporo dowiedzieć się o \”LLC VPSVILLE \”
To satelitarna geolokalizacja LLC VPSVILLE w Moskwie.
Ustalenia p. Rafała Gilla zgadzają się a wspomniany na poniższym skanie jest nazwisko \”Alexey Galaev\” .który w Moskwie pod powyższym adresem dzierżawi wirtualne serwery.
A teraz sprawdzmy informację zawartą w niebieskiej ramce –RELINK LTD.
To satelitarna geolokalizacja RELINK TLD w Moskwie.
Z strony internetowej wiemy że tu mieści się siedziba prywatnej firmy wynajmującej serwery i robiącej hosting.
Nie łudzmy się że jakiekolwiek usługi informatyczne ,dzierżawa serwerów w Rosji a więc technologie związane z bezpieczeństwem a tym bardziej w Moskwie nie są pod ścisłą kontrolą rosyjskich służb specjalnych szczególnie FSB a to z tymi firmami jest związana \”organizacja PZU\”….
28.01.2022 .Na kanale Telegram gdzie jest \”Poufna Rozmowa \” pojawił się taki komunikat:
31.01.2022 . Na portalu \”Tajna Europa\” ukazuje się wyciek zapewne niejawnych wojskowych informacji o mikrofalowym systemie neutralizacji dronów.
Ciekawe jest to że ten artykuł był już na tym kanale w dniu 2.08.2021
W przeciwieństwie do \”Poufnej Rozmowy \” kanał ten w obu językach milczy od 31.01.2022.
2.09.2022.
W tym dniu \”Poufna Rozmowa\” informuje że teraz będzie publikowana zawartość skrzynki mailowej Daniela Obajtka ,byłego wójta Pcimia , niedoszłego kandydata na Premiera a obecnie Prezesa PKN Orlen. Można się zatem zastanawiać czy to jest zmiana taktyki hakerów czy też pozostałe maile z skrzynki Michała Dworczyka nie będą miały takiego presji medialnej .
Dlatego po wypuszczeniu tej informacji przez hakerów interesujące będą daty wykradzionych maili i czy będzie jakaś logiczna zaplanowana chronologia upubliczniania czy też jakaś inna strategia będąca śledzeniem bieżącej sytuacji i wydarzeń politycznych w naszym kraju.
To był pierwszy mail z tej \”serii\” zapewne upubliczniony po to aby zobaczyć reakcję polskich mediów prasowych i społecznościowych.
👇
Mail dotyczy bratanicy Prezesa PIS a jest datowany z 2018 r.
Ten też jak spojrzymy na datę pochodzi z 2018 r.
Tutaj mamy do czynienia z innym rokiem -2020.
UWAGA – powyżej upubliczniono 3 maile które są datowane na 24.03. 2021 ! To dość istotna informacja jeśli chodzi o chronologię wydarzeń związanych z tą sprawą.
Powyższy mail jest datowany na 2019 r ale dotyczy nowego Prezesa TVP . To potwierdzenie tego że hakerzy śledzą na bieżąco nie tylko poprzez hasztagi -sytuację w Polsce.
Ten mail datowany na 9.08.2020 r jest znowu w serii \”Daniel Obajtek\”.
Ten mail datowany na 4.10.2020 jest nawiązaniem do sprawy respiratorów sprowadzonych przez \”słupa\” jakim dla naszych służb specjalnych był Andrzej Izdebski a więc kolejnym potwierdzeniem prób rosyjsko-białoruskiego wpływu na opinię publiczną niezależnie od jego treści.
2.09.2022.
Redaktor Anna Gilewska publikuje na Twitterze ważny wątek do którego ciekawe fragmenty chciałbym Państwu pokazać i są tradycyjnie linki.
\”Po tym, jak nie udało im się uzyskać dostępu do skrzynek odbiorczych Ministerstwa Obrony Narodowej, atakujący sięgnęli po niżej wiszące owoce. W ciągu 12 miesięcy zarejestrowali dziesiątki domen wykorzystywanych do prowadzenia kampanii phishingowych. Wiele z nich miało na celu kradzież haseł od użytkowników popularnych polskich serwisów pocztowych, takich jak wp.pl, interia.pl i onet.pl. Kampania okazała się zaskakująco skuteczna: kilkaset ofiar – w tym Marek Suski (członek parlamentarnej komisji wywiadu) i Dworczyk – wzięło przynętę, przekazując atakującym hasła do ich prywatnych kont e-mail.\”
\” Po opublikowaniu tej historii poprosiliśmy Marcina Siedlarza, eksperta z Mandiant, międzynarodowej firmy specjalizującej się w cyberbezpieczeństwie, o dodatkową analizę danych z wiadomości phishingowej.
Jego wnioski? – Wiadomość została wysłana z adresu IP użytego wcześniej w innych potwierdzonych atakach grupy UNC1151. Ta atrybucja dokonywana jest z dużą pewnością siebie – ocenia Siedlarz.
Co to oznacza? Z dużym prawdopodobieństwem możemy przypuszczać, że ataku na skrzynkę pocztową Dworczyka dokonali białoruscy hakerzy, którzy obsługują również wielowarstwową operację cyberszpiegowską o nazwie \”Ghostwriter\”. W terminologii cyberbezpieczeństwa \”atrybucja\” oznacza akredytację określonej grupy hakerów z konkretnym cyberatakiem.\”
Kiedy 24 lutego Rosja atakuje Ukrainę, portal \”Poufna Rozmowa\”, który od dziewięciu miesięcy zamieszcza e-maile Michała Dworczyka, nie zauważa tego. Kontynuuje swoją pracę jak zwykle, publikując nowe ekrany z e-mailami, które ujawniają, jak politycy PiS i osoby bliskie premierowi Morawieckiemu robią swoje interesy.
Tydzień po ataku rozpoczyna się kampania dezinformacyjna skoncentrowana na uchodźcach. Podejrzane lokalne grupy na Facebooku rozpowszechniają fałszywe treści przeciwko osobom o innym kolorze skóry i nieukraińskim uchodźcom, którzy przekraczają granicę polsko-ukraińską. Kiedy Pufa Rozmowa zamieszcza tekst, który mówi: \”Jeśli ci dzikusi wkraczają do Polski, dni PiS są policzone\”, to jego konotacje są oczywiste. W rzeczywistości jest to ekran e-maila z 2016 roku, wydobytego najprawdopodobniej ze zhakowanej skrzynki pocztowej należącej do Joachima Brudzińskiego, polityka i członka PiS. Ktoś przesłał mu wówczas grupowy e-mail pt. \”Głosy Polaków/ochrona granicy z Ukrainą\”.
Trzy dni później Pufa wywiesza ukraińską flagę z napisem: \”Solidarność z Ukrainą\”.
👇
Za aferą hakerską w Polsce – VSQUARE.ORG
👇
Scenariusz Ghostwriter – VSQUARE.ORG
W artykułach redaktor Anny Gielewskiej i portalu FRONTSTORY są też 2 grafiki pokazujące wykorzystywanie do własnych celów politycznych ataków hakerskich przez reżim Łukaszenki ale jedna jest szczególnie interesująca i ważna dlatego pozwolę ją sobie i Państwu pokazać.
Mail upubliczniony w serii \”Daniel Obajtek \” jest z kwietnia 2021 a więc \”najnowszym \” i zarazem ostatnim skradzionym mailem jest ten z 26.05.2021 którego pokazywałem Państwu na początku bloga. W dniu 28.05.2021 a więc dwa dni po tamtym mailu z całą pewnością jako pierwszy internauta- zauważyłem i zainteresowałem się \”włamaniami\” na konta Facebooka i Twittera –Katarzyny Kozon a 8.06.2021 opublikowałem tweeta którego po \”dobrej radzie\” natychmiast tak szybko skasowałem że nawet tego nie zauważyli śledczy dziennikarze z portalu Konkret 24….
To że za atakami stali hakerzy z Białorusi i że są powiązania z Rosją to wiemy z licznych analiz dziennikarzy śledczych ale czy dowiemy się kto korzystał z IP komputera będącego w KPRM o którym pisali informatycy z Komputer Świat i czy to ma jakikolwiek związek z śladami cyfrowymi które odkrył przypadkowo jeden z pentesterów to pewnie dowiemy się po zmianie władzy.
I na koniec smutna konstatacja . Przynajmniej dla mnie nie jest już ważne kto \”personalnie\” z obozu władzy mając tylko swój ,własny partyjny interes -stał za \”polskim wątkiem\” ponieważ moja Ojczyzna targana ekonomicznymi problemami, długami jeszcze bardzo długo przez wiele lat będzie podzielona / taki był cel białoruskich oraz rosyjskich hakerów a wcześniej w 2015 roku -rosyjskich służb specjalnych w aferze podsłuchowej co wykażę w jednym z następnych blogów/ na nawet trzy wrogie obozy :
LEWAKÓW
Centrowych \”SYMETRYSTÓW\”
PRAWAKÓW
Niestety takie są fakty w \”podzielonych\”, wrogich sobie politycznie polskich mediach społecznościowych że nikt nie lubi bezkompromisowych , naprawdę niezależnych od jakiegokolwiek polityka -blogerów. Jedynie to dziennikarze wyszli na niej najlepiej bo za parę płatnych artykułów zarobili kilka złotych. Ta afera ode mnie się zaczęła i to ja \”gaszę światło\” a ten blog powinienem zatytułować :
\”POLSKI SEDES.\”
Dziękując za uwagę zapraszam Państwa na kolejny blog z cyklu #BiałyWywiad .
Świętowit
You must be logged in to post a comment.