Hakerzy przejęli skrzynki mailowe posłów wszystkich ugrupowań
W związku z prowadzoną analizą trwającej hakerskiej kampanii "Ghostwriter" ABW ustaliła, że atakiem został objęty również system poczty elektronicznej Sejmu RP - poinformował w piątek rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn.
Szczegółowa analiza prowadzona przez ABW wykazała nieautoryzowane logowania do służbowych skrzynek poczty elektronicznej niektórych posłów na Sejm RP. Incydenty dotyczą w sumie kilkunastu parlamentarzystów, zasiadających w klubach i kołach poselskich: Lewica, Polska 2050, PiS, Koalicja Obywatelska, Konfederacja - poinformował Żaryn.
Rzecznik zapewnił, że ABW "natychmiast przekazała stosowne rekomendacje do Kancelarii Sejmu". "Posłowie, których skrzynki zostały zaatakowane, zostali poinformowani o zagrożeniach, a także sugerowanych działaniach mających na celu zminimalizowanie skutków ataku. Przeprowadzono dla nich również szkolenia w zakresie cyberbezpieczeństwa" - wyjaśnił.
Żaryn poinformował też, że "wskazane działania wymierzone w bezpieczeństwo skrzynek poczty elektronicznej posłów na Sejm RP identyfikujemy jako część operacji dezinformacyjnej prowadzonej przeciwko Polsce".
Sprawa cyberataków na Polskę zaistniała publicznie na początku czerwca. Wówczas szef KPRM Michał Dworczyk oświadczył, że w związku z doniesieniami dotyczącymi włamania na jego skrzynkę email i skrzynkę jego żony, a także na ich konta w mediach społecznościowych, poinformowane zostały stosowne służby państwowe. Podkreślił jednocześnie, że "w skrzynce mailowej będącej przedmiotem ataku hakerskiego nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny lub ściśle tajny". Cyberataki były tematem m.in. niejawnej części obrad Sejmu, podczas której przedstawiono informację rządu w tej sprawie.
Rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn w oświadczeniu podał, że ABW i SKW ustaliły, że na liście celów ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli, w tym 100 należących do polityków, a służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych. Dotychczasowe ustalenia ABW i SKW pozwalają twierdzić, że za ataki odpowiada grup hakerska UNC1151".
"Kancelaria Sejmu jest w stałym kontakcie służbami; apelujemy o ostrożność podczas pracy online"
W związku z incydentem dot. nieautoryzowanego dostępu do skrzynek pocztowych kilkunastu posłów Kancelaria Sejmu jest w stałym kontakcie z właściwymi służbami; apelujemy o zachowanie szczególnej ostrożności podczas pracy online - poinformował szef Centrum Informacyjne Sejmu Andrzej Grzegrzółka.
Grzegrzółka we wpisie na Twitterze zapewnił, że "Sejm traktuje bezpieczeństwo cyfrowe priorytetowo".
"W związku z incydentem dot. nieautoryzowanego dostępu do skrzynek pocztowych kilkunastu posłów, Kancelaria Sejmu jest w stałym kontakcie z właściwymi służbami. Apelujemy o zachowanie szczególnej ostrożności podczas pracy online" - podkreślił w piątek dyrektor CIS .
Czym jest operacja Ghostwriter?
Po raz pierwszy wzmianki o operacji Ghostwriter pojawiły się w raporcie firmy Mandiant Intelligence z lipca 2020 roku. Analitycy pisali wówczas, że jest to operacja wpływu, mająca na celu promowanie narracji krytycznych wobec NATO, głównie na Litwie, Łotwie i Polsce.
W jej ramach nieznana dotąd jednostka nazwana UNC1151, za którą - jak podejrzewano - stało obce państwo, prowadziło kampanię polegającą m.in. na publikowaniu i rozsyłaniu fałszywych artykułów opublikowanych po włamaniu na strony portali, m.in. na temat rzekomych przygotowań NATO do wojny z Rosją.
W kolejnym raporcie, z kwietnia 2021 r., firma oceniła, że działalność jednostki jest szersza niż wcześniej podejrzewano. Przypisano jej m.in. włamania na konta na Twitterze i Facebooka należące do polityków Zjednoczonej Prawicy, w tym posłów Marka Suskiego i minister Marleny Maląg. Mandiant stwierdził wówczas, że główne wysiłki w ramach "Ghostwritera" skupiały się w późniejszym czasie nie na NATO, lecz na kreowaniu podziałów wewnątrz koalicji rządzącej w Polsce oraz w polskim społeczeństwie.
"Narracje promowane w pięciu operacjach (włamań na konta polityków ZP - red.) zdają się prezentować skoordynowany wysiłek, by zdyskredytować koalicję rządzącą, poszerzyć istniejące podziały polityczne i promować obraz niezgody w koalicji" - pisała w kwietniowym raporcie firma.
Włamań na konta dokonano za pomocą phishingu, tj. wysyłania e-maili podszywających się pod znane portale czy np. banki, zachęcających adresatów do klikania w zainfekowane linki. Poza polskimi politykami celem takich ataków socjotechnicznych były także wojskowe i rządowe podmioty oraz media w państwach bałtyckich i na Ukrainie, a później także politycy w Niemczech i m.in. znany białoruski bloger opozycyjny.
Łącznie w raporcie odnotowano 34 incydenty powiązane z "Ghostwriterem" na przestrzeni ostatnich pięciu lat. W wielu przypadkach hakerzy używali kont polityków i osób publicznych, do których uzyskali dostęp, do rozprzestrzeniania fałszywych artykułów, np. mówiących o szajce zajmującej się prostytucją z udziałem przedstawicieli polskich i litewskich władz oraz amerykańskich wojskowych.
Mandiant stwierdził, że nie wszystkie z wymienionych incydentów dało się bezspornie przypisać UNC1151, lecz ma wysoki stopień pewności, że grupa stoi przynajmniej za częścią z nich.
Dołącz do dyskusji: Hakerzy przejęli skrzynki mailowe posłów wszystkich ugrupowań