Kluczowe jest nie to, co zawierała skrzynka ministra, ale z kim kontaktował się za jej pośrednictwem.
Marcin Maj, ekspert ds. bezpieczeństwa w sieci, Niebezpiecznik.pl
W serwisie Telegram ktoś publikuje informacje, rzekomo z prywatnej poczty ministra Dworczyka. On sam w oświadczeniu mówi o cyberataku i o tym, że zdarzenie może mieć związek z jego działaniami na rzecz przemian demokratycznych w byłym ZSRR. Co w sprawie jest jasne, a co w sferze domysłów?
Jasne jest to, że znów mamy do czynienia z przejęciem kont polityka. W ostatnich miesiącach doświadczyli tego posłowie Joanna Borowiak, Marcin Duszek. Albo kwestia kontrowersyjnego wpisu minister Maląg, po którym resort rodziny wydał oświadczenie, że to atak hakerski. Ale, gwoli ścisłości, nie jest to kłopot wyłącznie krajowy. Przypomnijmy wyciek e-maili z fragmentami przemówień kandydatki demokratów Hillary Clinton. Wówczas jej sztabowcy też tłumaczyli, że stoją za tym Rosjanie. Kilka lat temu hackerzy zaatakowali też posłów Bundestagu. Rozesłali e-maile z linkiem, po kliknięciu którego na komputerze instalowało się oprogramowanie. Tu ślad także prowadził do rosyjskich służb.
Jak było w przypadku ministra Dworczyka?
Wydarzenia ostatnich lat pokazują, że rosyjscy hakerzy przejmowali skrzynki do tzw. ruchu bocznego. Pocztę jednej osoby można było wykorzystać do wysłania czegoś kolejnej. W tej sprawie kluczowe jest więc nie to, co zawierała, ale z kim polityk kontaktował się za jej pośrednictwem. Bo jeśli te osoby w ostatnim czasie (atak mógł trwać od tygodni) dostawały e-maile z prośbą o wejście na stronę, kliknięcie linku itp., mogły to już być działania przestępców. Wracając do samego ataku, to nie wydaje się szczególnie skomplikowany. Mam na myśli phishing, kiedy przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem lub nakłonienia do określonych działań. W ten sposób łatwo jest zdobyć hasło do skrzynki pocztowej, którą ciągle gros osób za słabo zabezpiecza. Tymczasem to ona jest kluczem do innych usług online. Posługując się naszym e-mailem, może resetować hasła na kolejnych serwisach.
Czy konta polityków nie powinny być szczególnie chronione?
O bezpieczeństwo polityków, poza nimi samymi, powinny dbać służby. Trudno mi uwierzyć w narrację prowadzoną teraz przez przestępcę, że dotarł do tajnych dokumentów. Gdyby rzeczywiście którykolwiek z polityków na swojej poczcie zamieszczał dane objęte klauzulą „tajne”, byłby to skandal i potężne niedopatrzenie tych służb. W przypadku ataku na skrzynki polityków i ich rodzin o wiele groźniejsza jest dezinformacja. I to tu miało miejsce, bo przestępca zhakował konto żony ministra i z niego poszedł wprowadzający chaos komunikat. To tylko hipoteza, ale jeśli hakerzy chcą faktycznie zaszkodzić rządowi, to efekt ich działań może być odczuwalny później – jako skutek wspomnianego ruchu bocznego.
Czy można mieć pewność, że za tym atakiem stoją rosyjskie lub białoruskie służby?
Nie. Podobnie nie ma pewności, czy to, co pojawia się na Telegramie, pochodzi ze skrzynki ministra. Fakt, Telegram został założony przez Rosjan i jest chętnie wykorzystywany przez osoby kojarzone z tamtejszymi służbami. Ale można postawić inną tezę: kto jest zainteresowany, by przypisać ten atak akurat im? Na razie mamy spekulacje. Kolejna – gdyby trafiono na cenne dane, nie lepszym działaniem z punktu widzenia obcych służb byłoby zachowanie tej wiedzy dla siebie?
Co dalej?
Na pewno zadaniem polskich służb jest ustalić, co było na skrzynce, kto otrzymywał pocztę z tego konta (mogą to być kolejne potencjalne cele), czy przestępcy nie użyli jej do np. przesyłania złośliwych załączników. Będzie też analiza śladów elektronicznych, stylu pisania wiadomości, ustalenie serwera, na którym była strona phishigowa (być może została już wcześniej użyta). Istnieje możliwość zawężenia grupy podejrzanych. Jeżeli mamy do czynienia z atakiem APT (z ang. Advanced Persistent Threat), to pamiętajmy, że to wielostopniowe działania. Takich grup na świecie jest wiele. Mają swoje numery, nawet nazwy, jak np. Tańczący Niedźwiedź, co stanowi nawiązanie do kraju ich pochodzenia. Niewątpliwie przydałaby się też akcja szkoleniowa, nie tylko dla polityków, ale innych osób decyzyjnych. Dane Interpolu pokazują, że w roku pandemicznym nastąpił radykalny wzrost podobnych ataków. I to ofiary swoją niefrasobliwością się do nich przyczyniły.
Rozmawiała: Paulina Nowosielska
