Rosja zarzuca sieć na Platformę Obywatelską. Ustaliliśmy szczegóły cyberataku

W PO zapanował popłoch po środowym cyberataku na komputery biura partii. Co mogli wykraść rosyjsko-białoruscy hakerzy? I czy premier Donald Tusk powinien był informować o tym publicznie na X?

Publikacja: 03.04.2025 18:57

Środowy atak na biura parlamentarzystów PO przeprowadziły grupy z Federacji  Rosyjskiej i Białorusi

Środowy atak na biura parlamentarzystów PO przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował minister cyfryzacji Krzysztof Gawkowski

Foto: PAP/TOMASZ GZELL

– Środowy atak na biura parlamentarzystów Platformy Obywatelskiej przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował w czwartek minister cyfryzacji Krzysztof Gawkowski.

Zaczęła się obca ingerencja w wybory” – podał dzień wcześniej na X premier Donald Tusk.

Przejęte konto działacza PO. Haker podszywa się pod niego i rozsiewa złośliwe oprogramowanie

„Rzeczpospolitej” udało się ustalić szczegóły tego cyberataku – miał on klasyczną formę phishingu. Hakerom udało się przejąć konto mailowe jednego z lokalnych działaczy PO poprzez przełamanie zabezpieczeń (najprawdopodobniej nie było ono zabezpieczone tzw. weryfikacją dwuetapową). – Kiedy to dokładnie nastąpiło, nie wiemy, ale zakładamy, że wiele dni wcześniej – zdradza nam osoba znająca tło sprawy.

W środę z adresu mailowego owego działacza rozesłanych zostało kilkadziesiąt maili, w tym do posłów PO, ze specjalnym linkiem – był on zainfekowany złośliwym oprogramowaniem. – Mail był napisany w „stylu” osoby, której konto przejęto. Widać, że zawartość konta tej osoby została poddana analizie, a hakerzy próbowali nadać walor autentyczności korespondencji. Ale nie do końca się to udało, bo jeden z adresatów nabrał podejrzeń i zgłosił sprawę. Wtedy wyszło na jaw, że ów działacz takich maili wcale nie wysyłał, a jego konto przejęli nieznani sprawcy – zdradza nam nasze źródło.

Czytaj więcej

„Chcą ukraść Polakom wybory”. Rząd wskazał sprawców ataku na PO

Już w środę po południu informację o ataku ujawnił premier Donald Tusk na portalu X. „Cyberatak na system informatyczny Platformy. Zaczęła się obca ingerencja w wybory. Służby wskazują na wschodni ślad” – napisał. 

– Jeśli atak miał miejsce w środę, to źle się stało, że politycy zaczęli od razu o tym informować. Służby muszą mieć czas na reakcję, zebranie dowodów i ustalenie zasięgu ataku. Uważam, że to nie służy wyjaśnieniu sprawy – mówi Adam Haertle, ekspert ds. cyberbezpieczeństwa, szef portalu zaufanatrzeciastrona.pl.

Jeśli atak miał miejsce w środę, to źle się stało, że politycy zaczęli od razu o tym informować. Służby muszą mieć czas na reakcję, zebranie dowodów i ustalenie zasięgu ataku. Uważam, że to nie służy wyjaśnieniu sprawy

Adam Haertle, ekspert ds. cyberbezpieczeństwa, szef portalu zaufanatrzeciastrona.pl

Czy wiarygodna jest informacja, że cyberatak na członków PO pochodził z Rosji i Białorusi? – Tak. Polskie organy mają bardzo dobre rozpoznanie tych kierunków – dodaje Adam Haertle. – Okoliczności na to wskazują – potwierdza nam Michał Gramatyka, wiceminister cyfryzacji.

Marek Gieorgica, rzecznik Ministerstwa Cyfryzacji, wyjaśnia „Rz”: – O szczegółach mówić na tym etapie nie możemy. Ale to analogiczny sposób działania i wzorce, z jakimi mieliśmy do czynienia w przeszłości, które świadczą o kierunku ataków.

Na zlecenie rosyjskich czy białoruskich służb często też pracują „cywilni” cyberprzestępcy. – A ci nigdy nie chwalą się tym, że dokonali ataku. Jest to bowiem uznawane za rodzaj wojny. Ci hakerzy również milczą – dodaje nasze źródło.

Większość posłów Platformy o hakerskim ataku na system dowiedziała się z wpisu premiera i zdawkowych wypowiedzi kilku ministrów. PO nie wysyłała do posłów ani komunikatów, ani ostrzeżeń. – Coś wczoraj się działo, ja nie miałam internetu, ale nie wiem, czy to w związku z atakiem hakerskim. Mam internet w telefonie, więc z niego korzystałem – mówi nam poseł Jarosław Urbaniak z PO.

Podobne ataki miały miejsce cztery lata temu. Zaatakowano skrzynki mailowe posłów PiS, w tym Michała Dworczyka

Blisko cztery lata temu, w 2021 r., miał miejsce podobny atak hakerski – na posłów PiS. I również zaczął się od słabego ogniwa, czyli prywatnej skrzynki mailowej Michała Dworczyka (i jego żony), który wówczas był szefem Kancelarii Premiera Mateusza Morawieckiego.

Hakerzy wtedy zdobyli login i hasło do prywatnej poczty mailowej Dworczyka metodą phishingu. Zaraz potem wykradzione z niej wiadomości zaczął publikować na rosyjskim komunikatorze Telegram serwis Poufna Rozmowa. Była to m.in. korespondencja ministra z innymi politykami, przede wszystkim z otoczenia premiera Morawieckiego. Jednocześnie sam Dworczyk twierdził, że część upublicznionych wiadomości została sfałszowana.

Czytaj więcej

Afera mailowa: 150 ofiar „politycznego hakera”

W sierpniu 2024 r. warszawska prokuratura w związku z tamtym włamaniem postawiła zarzuty trzem osobom. To jednak były tylko pionki w tej sprawie. Inspiratorów ani głównych sprawców włamania do poczty ministra Michała Dworczyka do dziś nie ustalono.

Jak pisała „Rz”, podejrzanymi byli Dymitr P. (Ukrainiec), Piotr D. i Dawid R. To, kolejno, logistyk, prywatny przedsiębiorca i pracownik firmy windykacyjnej. Nie znali się, wszyscy trzej – według śledczych – dostali się do poczty ministra w czerwcu 2021 r. Dwóch „weszło” do niej 23 czerwca, jeden – 16 czerwca. W tym czasie Telegram od kilkunastu dni publikował już wykradzione stamtąd treści (zamieszczał je od 4 czerwca). To pokazuje, że ci mężczyźni nie stali za hakerskim włamaniem, tak zresztą wynikało z ich wyjaśnień. Nie ma również dowodu, by zrobili użytek z korespondencji, którą zobaczyli. Należy więc przypuszczać, że prawdziwi wykonawcy od trzech lat pozostają nieznani.

Jeden z mężczyzn tłumaczył włamanie „ciekawością” (chciał sprawdzić, czy dane dostępowe, jakie pojawiły się na jednym z hakerskich forów, zadziałają), drugi „nie pamiętał wydarzeń objętych zarzutem”, z kolei trzeci – menedżer w firmie windykacyjnej – się nie przyznał. I wygląda na to, że rzeczywiście tylko skorzystali z haseł dostępu, jakie pojawiły się w internecie.

Czytaj więcej

Hakerzy w skrzynkach posłów. Niektórzy dopiero się dowiadują

Operacja „Ghostwriter” i raport Jarosława Kaczyńskiego z 2021 r. na temat bezpieczeństwa

Według polskich służb ataków na konta Michała Dworczyka i kilku innych posłów dokonała grupa cyberszpiegów UNC1151 w ramach operacji „Ghostwriter", a jej celem była destabilizacja sytuacji politycznej w Europie Środkowej.

Za rządów Zjednoczonej Prawicy cyberataków było jednak więcej. Jak podał w oświadczeniu w czerwcu 2021 r. Jarosław Kaczyński, wtedy wicepremier ds. bezpieczeństwa narodowego, przedmiotem ataku cybernetycznego byli „najważniejsi polscy urzędnicy, ministrowie, posłowie różnych opcji politycznych”. Na tej liście było ok. 150 nazwisk (ofiarą cyberprzestępców padła m.in. posłanka PiS Joanna Borowiak – włamano się na jej konto na Twitterze w październiku 2022 r.), i Arkadiusz Czartoryski. I rzeczywiście zaatakowani zostali politycy wszystkich opcji politycznych, nie tylko PiS.

Co ciekawe, od października 2024 r. konto Poufna Rozmowa na Telegramie, a także strona internetowa o tej nazwie są już nieaktywne. Nie pojawiają się tam żadne nowe informacje.

– Środowy atak na biura parlamentarzystów Platformy Obywatelskiej przeprowadziły grupy z Federacji Rosyjskiej i Białorusi – poinformował w czwartek minister cyfryzacji Krzysztof Gawkowski.

Zaczęła się obca ingerencja w wybory” – podał dzień wcześniej na X premier Donald Tusk.

Pozostało jeszcze 97% artykułu

Czytaj więcej, wiedz więcej!
Rok dostępu za 99 zł.

Tylko teraz! RP.PL i NEXTO.PL razem w pakiecie!
Co zyskasz kupując subskrypcję?
- możliwość zakupu tysięcy ebooków i audiobooków w super cenach (-40% i więcej!)
- dostęp do treści RP.PL oraz magazynu PLUS MINUS.
Służby
Nielegalne drony przemytników i obcych służb nad wschodnią granicą
Materiał Partnera
Warunki rozwoju OZE w samorządach i korzyści z tego płynące
Służby
Czy brak prawa do azylu zniechęci migrantów? Nie wszystkich
Służby
Radosław Sikorski: Na wschodniej granicy Polski mamy do czynienia z zaplanowaną akcją
Służby
Tusk na granicy z Białorusią: w tej sprawie jest konsensus narodowy
Materiał Partnera
Konieczność transformacji energetycznej i rola samorządów
Służby
Służby płacą za skazanych funkcjonariuszy