Rzeczpospolita
Wydarzenia

Rosja zarzuca sieć na Platformę Obywatelską. Ustaliliśmy szczegóły cyberataku

W PO zapanował popłoch po środowym cyberataku na komputery biura partii. Co mogli wykraść rosyjsko-białoruscy hakerzy? I czy premier Donald Tusk powinien był informować o tym publicznie na X?

Publikacja: 03.04.2025 18:57

Środowy atak na biura parlamentarzystów PO przeprowadziły grupy z Federacji Rosyjskiej i Białorusi

Środowy atak na biura parlamentarzystów PO przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował minister cyfryzacji Krzysztof Gawkowski

Foto: PAP/TOMASZ GZELL

Izabela Kacprzak, Grażyna Zawadka

– Środowy atak na biura parlamentarzystów Platformy Obywatelskiej przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował w czwartek minister cyfryzacji Krzysztof Gawkowski.

Zaczęła się obca ingerencja w wybory” – podał dzień wcześniej na X premier Donald Tusk.

Przejęte konto działacza PO. Haker podszywa się pod niego i rozsiewa złośliwe oprogramowanie

„Rzeczpospolitej” udało się ustalić szczegóły tego cyberataku – miał on klasyczną formę phishingu. Hakerom udało się przejąć konto mailowe jednego z lokalnych działaczy PO poprzez przełamanie zabezpieczeń (najprawdopodobniej nie było ono zabezpieczone tzw. weryfikacją dwuetapową). – Kiedy to dokładnie nastąpiło, nie wiemy, ale zakładamy, że wiele dni wcześniej – zdradza nam osoba znająca tło sprawy.

W środę z adresu mailowego owego działacza rozesłanych zostało kilkadziesiąt maili, w tym do posłów PO, ze specjalnym linkiem – był on zainfekowany złośliwym oprogramowaniem. – Mail był napisany w „stylu” osoby, której konto przejęto. Widać, że zawartość konta tej osoby została poddana analizie, a hakerzy próbowali nadać walor autentyczności korespondencji. Ale nie do końca się to udało, bo jeden z adresatów nabrał podejrzeń i zgłosił sprawę. Wtedy wyszło na jaw, że ów działacz takich maili wcale nie wysyłał, a jego konto przejęli nieznani sprawcy – zdradza nam nasze źródło.

Czytaj więcej

Cyberatak na biura parlamentarzystów i członków PO przeprowadziły grupy z Federacji Rosyjskiej i Bia
IT
„Chcą ukraść Polakom wybory”. Rząd wskazał sprawców ataku na PO

Już w środę po południu informację o ataku ujawnił premier Donald Tusk na portalu X. „Cyberatak na system informatyczny Platformy. Zaczęła się obca ingerencja w wybory. Służby wskazują na wschodni ślad” – napisał. 

– Jeśli atak miał miejsce w środę, to źle się stało, że politycy zaczęli od razu o tym informować. Służby muszą mieć czas na reakcję, zebranie dowodów i ustalenie zasięgu ataku. Uważam, że to nie służy wyjaśnieniu sprawy – mówi Adam Haertle, ekspert ds. cyberbezpieczeństwa, szef portalu zaufanatrzeciastrona.pl.

Jeśli atak miał miejsce w środę, to źle się stało, że politycy zaczęli od razu o tym informować. Służby muszą mieć czas na reakcję, zebranie dowodów i ustalenie zasięgu ataku. Uważam, że to nie służy wyjaśnieniu sprawy

Adam Haertle, ekspert ds. cyberbezpieczeństwa, szef portalu zaufanatrzeciastrona.pl

Czy wiarygodna jest informacja, że cyberatak na członków PO pochodził z Rosji i Białorusi? – Tak. Polskie organy mają bardzo dobre rozpoznanie tych kierunków – dodaje Adam Haertle. – Okoliczności na to wskazują – potwierdza nam Michał Gramatyka, wiceminister cyfryzacji.

Marek Gieorgica, rzecznik Ministerstwa Cyfryzacji, wyjaśnia „Rz”: – O szczegółach mówić na tym etapie nie możemy. Ale to analogiczny sposób działania i wzorce, z jakimi mieliśmy do czynienia w przeszłości, które świadczą o kierunku ataków.

Na zlecenie rosyjskich czy białoruskich służb często też pracują „cywilni” cyberprzestępcy. – A ci nigdy nie chwalą się tym, że dokonali ataku. Jest to bowiem uznawane za rodzaj wojny. Ci hakerzy również milczą – dodaje nasze źródło.

Większość posłów Platformy o hakerskim ataku na system dowiedziała się z wpisu premiera i zdawkowych wypowiedzi kilku ministrów. PO nie wysyłała do posłów ani komunikatów, ani ostrzeżeń. – Coś wczoraj się działo, ja nie miałam internetu, ale nie wiem, czy to w związku z atakiem hakerskim. Mam internet w telefonie, więc z niego korzystałem – mówi nam poseł Jarosław Urbaniak z PO.

Podobne ataki miały miejsce cztery lata temu. Zaatakowano skrzynki mailowe posłów PiS, w tym Michała Dworczyka

Blisko cztery lata temu, w 2021 r., miał miejsce podobny atak hakerski – na posłów PiS. I również zaczął się od słabego ogniwa, czyli prywatnej skrzynki mailowej Michała Dworczyka (i jego żony), który wówczas był szefem Kancelarii Premiera Mateusza Morawieckiego.

Hakerzy wtedy zdobyli login i hasło do prywatnej poczty mailowej Dworczyka metodą phishingu. Zaraz potem wykradzione z niej wiadomości zaczął publikować na rosyjskim komunikatorze Telegram serwis Poufna Rozmowa. Była to m.in. korespondencja ministra z innymi politykami, przede wszystkim z otoczenia premiera Morawieckiego. Jednocześnie sam Dworczyk twierdził, że część upublicznionych wiadomości została sfałszowana.

Czytaj więcej

Afera mailowa: 150 ofiar „politycznego hakera”
Polityka
Afera mailowa: 150 ofiar „politycznego hakera”

W sierpniu 2024 r. warszawska prokuratura w związku z tamtym włamaniem postawiła zarzuty trzem osobom. To jednak były tylko pionki w tej sprawie. Inspiratorów ani głównych sprawców włamania do poczty ministra Michała Dworczyka do dziś nie ustalono.

Jak pisała „Rz”, podejrzanymi byli Dymitr P. (Ukrainiec), Piotr D. i Dawid R. To, kolejno, logistyk, prywatny przedsiębiorca i pracownik firmy windykacyjnej. Nie znali się, wszyscy trzej – według śledczych – dostali się do poczty ministra w czerwcu 2021 r. Dwóch „weszło” do niej 23 czerwca, jeden – 16 czerwca. W tym czasie Telegram od kilkunastu dni publikował już wykradzione stamtąd treści (zamieszczał je od 4 czerwca). To pokazuje, że ci mężczyźni nie stali za hakerskim włamaniem, tak zresztą wynikało z ich wyjaśnień. Nie ma również dowodu, by zrobili użytek z korespondencji, którą zobaczyli. Należy więc przypuszczać, że prawdziwi wykonawcy od trzech lat pozostają nieznani.

Jeden z mężczyzn tłumaczył włamanie „ciekawością” (chciał sprawdzić, czy dane dostępowe, jakie pojawiły się na jednym z hakerskich forów, zadziałają), drugi „nie pamiętał wydarzeń objętych zarzutem”, z kolei trzeci – menedżer w firmie windykacyjnej – się nie przyznał. I wygląda na to, że rzeczywiście tylko skorzystali z haseł dostępu, jakie pojawiły się w internecie.

Czytaj więcej

Michał Dworczyk, szef KPRM, od którego zaczęła się „afera e-mailowa" zdradził że „zostały przejęte s
Polityka
Hakerzy w skrzynkach posłów. Niektórzy dopiero się dowiadują

Operacja „Ghostwriter” i raport Jarosława Kaczyńskiego z 2021 r. na temat bezpieczeństwa

Według polskich służb ataków na konta Michała Dworczyka i kilku innych posłów dokonała grupa cyberszpiegów UNC1151 w ramach operacji „Ghostwriter", a jej celem była destabilizacja sytuacji politycznej w Europie Środkowej.

Za rządów Zjednoczonej Prawicy cyberataków było jednak więcej. Jak podał w oświadczeniu w czerwcu 2021 r. Jarosław Kaczyński, wtedy wicepremier ds. bezpieczeństwa narodowego, przedmiotem ataku cybernetycznego byli „najważniejsi polscy urzędnicy, ministrowie, posłowie różnych opcji politycznych”. Na tej liście było ok. 150 nazwisk (ofiarą cyberprzestępców padła m.in. posłanka PiS Joanna Borowiak – włamano się na jej konto na Twitterze w październiku 2022 r.), i Arkadiusz Czartoryski. I rzeczywiście zaatakowani zostali politycy wszystkich opcji politycznych, nie tylko PiS.

Co ciekawe, od października 2024 r. konto Poufna Rozmowa na Telegramie, a także strona internetowa o tej nazwie są już nieaktywne. Nie pojawiają się tam żadne nowe informacje.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Polityka Partie Polityczne Platforma Obywatelska Rząd Ministerstwo Cyfryzacji Przestępczość Osoby Donald Tusk IT Bezpieczeństwo IT Hakerzy cyberatak cyberbezpieczeństwo

– Środowy atak na biura parlamentarzystów Platformy Obywatelskiej przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował w czwartek minister cyfryzacji Krzysztof Gawkowski.

Zaczęła się obca ingerencja w wybory” – podał dzień wcześniej na X premier Donald Tusk.

Pozostało jeszcze 97% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Agenci CBA weszli do siedzib PKOl i PZKosz. Chodzi o faktury
Służby
Agenci CBA weszli do siedzib PKOl i PZKosz. Chodzi o faktury
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Materiał Promocyjny
Citi Handlowy: Konto oszczędnościowe do 200 tys. zł. Oferta ważna do 12.05.2025
Advertisement
Starlinki produkuje spółka miliardera SpaceX. Elon Musk, który nie ukrywa niechęci do Ukrainy, w swo
Służby
Starlinki nie tylko dla Ukrainy. Obsługiwały także wybory w Polsce
Agnieszka Kwiatkowska-Gurdak
Służby
600 tys. zł w rok. Kosmiczna pensja szefowej CBA
Anna Dyner
Służby
Anna Dyner: Jak w Polsce werbują białoruskie i rosyjskie służby
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Materiał Promocyjny
Škoda obniża ceny hybrydowych wersji Škody Superb i Škody Kodiaq
Advertisement
Agnieszka Kwiatkowska-Gurdak
Służby
Szefowa CBA utajniła swój majątek
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Materiał Promocyjny
Ducato w leasingu 102,9% z pakietem ubezpieczeń OC/AC za 1% wartości auta
Advertisement
e-Wydanie