Ataki hakerskie na polskich polityków to dzieło białoruskiego reżimu - są dowody!

Mandiant opublikowało właśnie swój raport na temat organizacji UNC1151, najpewniej odpowiadającej za kampanię Ghostwriter, w ramach której do sieci wyciekają m.in. maile polskich polityków. Jego zdaniem to akcja bardzo spójna z linią działań i narracją białoruskiego reżimu, przynajmniej częściowo przez niego zorganizowana, a zaangażowanie w nią oraz grupę hakerską UNC1151 rosyjskich sił również nie jest wykluczone. 

Skąd to przekonanie? Jak informują specjaliści firmy ds. cyberbezpieczeństwa, chociaż grupa UNC1151 atakowała bardzo wiele różnych jednostek sektora państwowego i prywatnego, głównym obszarem jej działań były Ukraina, Litwa, Łotwa, Polska i Niemcy. Ataków nie uniknęli również białoruscy obywatele (głównie opozycjoniści, którzy dziwnym zbiegiem okoliczności byli później aresztowani przez służby), organizacje medialne i dziennikarze, ale wszystkie zdają się mieć punkt wspólny - są spójne z interesami białoruskiego reżimu. 

Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki (...) Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. W tym czasie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu

---

Szczególnie że w żadnym nie chodziło o zyski finansowe, a jedynie pozyskanie poufnych danych czy dyskredytację konkretnych osób. Co więcej, ataki na jednostki rządowe “ominęły" samą Białoruś i Rosję, co może sugerować źródła tych działań.

Zgodność z białoruskimi interesami to jednak tylko jedna przesłanka, bo Mandiant zgromadziło również dowody techniczne sugerujące, że działalność grupy UNC1151 jest prowadzona głównie z Mińska, co potwierdzić miało wiele różnych źródeł (udało się połączyć wspomnianą aktywność z osobami zamieszkującymi białoruską stolicę).

Co więcej, nie brakuje też dowodów łączących działalność organizacji z białoruskim wojskiem - jednymi z głównych celów ataków UNC1151 byli Ministrowie Obrony wspomnianych krajów, w tym Polski, a cała kampania pierwotnie była skierowana przeciwko obecności żołnierzy NATO w krajach wschodniej flanki (to narracja od lat typowa dla Rosji).

Dopiero w połowie 2020 roku zmieniła swój charakter, skupiając się na białoruskich opozycjonistach w trakcie ostatnich wyborów prezydenckich oraz krajach sąsiadujących z Białorusią. Głównie Polsce i Litwie, które ostro sprzeciwiły się tłumieniu przez reżim demonstracji antyrządowych i innym działaniom Łukaszenki zmierzającym do utrzymania władzy. Hakerzy próbowali przekonać o rzekomych skandalach i korupcji wysoko postawionych polityków, co miało doprowadzić do skonfliktowania obu krajów, a także dyskredytacji białoruskiej opozycji. 

Biorąc to wszystko pod uwagę Mandiant ocenia z dużą pewnością, że UNC1151 jest związane z białoruskim rządem i z umiarkowaną pewnością, że jest powiązane z białoruskim wojskiem. Wszystkie działania prowadzone w ramach zorganizowanej kampanii hakerskiej są wycelowane w kraje potępiające ostatnie działania reżimu Łukaszenki, które są również stałym celem rosyjskich służb specjalnych. Co więcej, są one spójne z narracją i interesami białoruskich władz, a Mandiant pozyskało również dowody wskazujące, że działania są prowadzone z terenu Białorusi, a konkretniej Mińska. 

Nie pozostaje więc nic innego, jak tylko zadać jedno pytanie - jaki jest ich cel? Zdaniem ekspertów z Mandiant chodziło o pozyskanie ważnych danych i zdyskredytowanie pewnych osób, co miało z kolei za zadanie wsparcie innych zaplanowanych celów rządowych, bo takie akcje nigdy nie są celem samym w sobie. Co to oznacza dla Polski i innych krajów sąsiadujących z Białorusią? O co konkretnie może chodzić reżimowi Łukaszenki i czy należy się spodziewać, że to dopiero początek podobnych ataków? 

O komentarz poprosiliśmy Wojciecha Brzezińskiego, twórcę programu popularnonaukowego "Horyzont zdarzeń" i współautora książki "Strefy Cyberwojny", podejmującej temat internetowej manipulacji.

- Kwestia włamań, kwestia wykorzystywania w ten sposób zdobytych informacji to nie jest nic nowego. Mieliśmy tego doskonałe przykłady w Stanach Zjednoczonych, kiedy w 2016 roku rosyjscy hakerzy dokładnie w ten sposób rozłożyli kampanię Hilary Clinton. Były próby podobnego "załatwienia" Emmanuela Macrona podczas wyborów, które ostatecznie wygrał, ale tam Francuzi okazali się lepsi od hakerów, bo wiedzieli, że ataki mogą się przydarzyć, byli na to przygotowani i wiedzieli, jak obchodzić się z własnymi mailami. To lekcje, które na Zachodzie zostały już dawno odrobione, a u nas odrobione nie zostały i bez względu na to, kto stał za tą konkretną operacją, jest to metodologia znana od wielu lat.

Wojciech Brzeziński wskazuje przy okazji, że należy być ostrożnym przy przypisywaniu autorstwa ataków. Twierdzi też, że problemu można było uniknąć, gdyby tylko odpowiednie osoby wyciągnęły lekcje z doświadczeń innych krajów i podobnych akcji sprzed lat:

- Atrybucja w przypadku wszelkiego rodzaju ataków w sieci jest zawsze najtrudniejsza i ustalenie, kto tak naprawdę stała za atakami, zajmuje często wiele lat. A jeśli faktycznie zrobili to Białorusini, operacja idzie dokładnie takimi samymi torami, którymi szły tamte operacje sprzed kilku lat. Były one bardzo nagłośnione i powinny być lekcją, jak się obchodzić i jak się nie obchodzić z pewnymi informacjami i jak zabezpieczać się przed wojną informacyjną ze strony przeciwników, bo tego rodzaju akcje są zawsze narzędziem służącym do osiągnięcia jakichś innych celów.

Nasz rozmówca zwraca również uwagę na fakt, że to sytuacja trudna, niekorzystna i trudno przewidzieć, jaki jest jej "ostateczny" cel:

- Tu nie chodzi tylko o to, żeby coś ujawnić, tu chodzi o stworzenie zamętu, zamieszania, sianie podziałów. Zwykle chodzi po prostu o chaos (...) chaos, z którego później ma wypłynąć jakieś rozwiązanie korzystne dla ludzi stojących za atakiem. Jaki może być cel polskich operacji? Na pewno nie jest nim nic, z czego powinniśmy się cieszyć. Trudno w  tym momencie ustalić, jaki jest endgame osób, które za tym stoją, natomiast jest to element wieloelementowej kampanii, bo tego typu działania nigdy nie są w izolacji.

- Warto jednak zwrócić uwagę na jedną sprawę - jeśli rzeczywiście była to operacja wywiadowcza i te informacje ujawniane są teraz, to agencje wywiadu dużo wcześniej miały do nich dostęp i po prostu z nich korzystały pełnymi garściami, korzystając z niefrasobliwości ludzi, którzy posługiwali się prywatnymi skrzynkami mailowymi do prowadzenia ważnych państwowych spraw. To jest tylko ostatni etap działania, które zapewne trwało od wielu wielu lat i na pewno nie przyczyniło się do wzmocnienia państwa.