Na liście celów cyberataku znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli. Przeprowadziła go grupa o nazwie UNC1151 powiązana ze służbami specjalnymi Rosji – wynika z ustaleń Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, które ujawnił we wtorek Stanisław Żaryn, rzecznik ministra koordynatora służb specjalnych.
Wśród zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy, pracownicy mediów i organizacji pozarządowych. W tej grupie „znalazł się również adres, z którego korzystał minister Michał Dworczyk". Żaryn opisał, jak włamano się na konto szefa KPRM. Posłużono się zainfekowanym linkiem, który hakerom otworzył dostęp do komputera ministra, tzw. phishing. „Zanotowano również kilkukrotne obce logowania do skrzynki pocztowej użytkowanej przez Ministra Dworczyka" – podał Żaryn.
Według służb działania grupy UNC1151, które dotknęły ostatnio Polski, to element akcji „Ghostwriter", której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.
Ale zdaniem informatyków zajmujących się cyberbezpieczeństwem „cała sprawa jest dość dziwna". – To może być atak wycelowany w naszych polityków, ale wewnętrznie wydaje nam się, że coś tu śmierdzi. W naszej ocenie może to być początek lub fragment jakiejś większej kampanii. Przejęte konta mogły posłużyć np. do ataku w innym kierunku, czyli atakujący wykorzystuje czyjeś konto do zdobycia zaufania faktycznego celu i nasz kraj może być tylko „celem pośrednim". Może być też tak, że atak maskuje inne zdarzenia – mówi nam Przemysław Krejza, dyrektor ds. badań i rozwoju spółki Mediarecovery.
Wynika to bowiem z wiedzy o działaniach „Ghostwriter", która działa od ok. 2018 r. Szczegółowo opisuje to raport spółki Mandiant Threat Intelligence, nazywając to kampanią wpływu cybernetycznego, która była skierowana przede wszystkim do odbiorców na Litwie, Łotwie i w Polsce z narracjami krytycznymi wobec obecności NATO w Europie Wschodniej. Zdaniem Mandiant UNC1151 to grupa cyberszpiegowska, która przeprowadza przynajmniej część akcji „Ghostwritera".