Cyberprzestępcy mogli mieć nieograniczony dostęp do poczty szefa Kancelarii Premiera ministra Michała Dworczyka aż przez dziewięć miesięcy. Udało im się pozyskać login i hasło do skrzynki na wp.pl poprzez oszustwo phishingu, infekując pocztę ministra fałszywym oprogramowaniem, które „otworzyło" dostęp do komputera. Pierwsza udana próba, jak ustaliła „Rzeczpospolita", miała miejsce 22 września ubiegłego roku, potem takich wejść było co najmniej kilka.
Jak ustaliliśmy, wejście na konto FB żony ministra, od którego zaczęła się „afera mailowa", było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła – hakerzy uzyskali bowiem poprawne dane, jakich używał minister. To dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania – takiego incydentu nie odnotowano. Sprawa wyszła na jaw, dopiero kiedy ukradzione materiały zaczęły być publikowane. Ukradzione Dworczykowi maile z prywatnej poczty są publikowane od 8 czerwca na rosyjskim komunikatorze Telegram.
ABW i SKW ustaliły, że wejść hakerów do poczty Dworczyka było kilka. Poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra. Oliwy do ognia dolał niebezpiecznik.pl. Kilka dni temu napisał: „Jeśli wierzyć publikowanym na Telegramie dokumentom, to włamywacze mieli dostęp do skrzynki ministra Dworczyka nawet tydzień po ujawnieniu skutków drugiej fali ataków (Suski i reszta). A nie powinni. Już w grudniu 2020 każda ważna osoba w państwie powinna zostać przeszkolona i odpowiednio »skonfigurowana« zarówno służbowo, jak i prywatnie".
Według służb sprawa Dworczyka, podobnie jak wcześniejsze ataki na konta posłów PiS, m.in. Arkadiusza Czartoryskiego czy Joanny Borowiak, miały miejsce w tym samym czasie i dokonała tego ta sama grupa cyberszpiegów – UNC1151 w ramach operacji „Ghostwriter", której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej. Rzeczywiście, zdaniem ekspertów od cyberprzestępczości „Ghostwriter" działa w „interesie Rosji", ale dotychczas nikt nie pokusił się o konkretne nazwiska osób, które za tym stoją.
Zdaniem naszych rozmówców, którzy znają kulisy sprawy Dworczyka, służby mają już konkretne ustalenia – i dlatego nie obawiają się sformułowań, że „grupa o nazwie UNC1151 jest „powiązana ze służbami specjalnymi Rosji".