„Deutsche Welle”: akcja „Ghostwriter” w Niemczech i problemy ws. prywatnych maili członków rządu

Serwis „Deutsche Welle” przytacza kolejne doniesienia niemieckich mediów na temat działalności grupy hakerskiej, która ma być powiązana z rosyjskimi służbami. W Niemczech jej celem mieli być głównie politycy koalicji rządzącej. Przy okazji zwrócono uwagę, że Niemcy również mają problem z używaniem przez członków rządu prywatnych kont mailowych do celów służbowych.

Niemieckie media publikują kolejne informacje dotyczące ataków hakerskich, za które odpowiadać ma grupa UNC1151, do których doszło zarówno w Polsce, jak i w Niemczech. Zdaniem polskich służb, jest ona powiązana ze służbami rosyjskimi, a jej działalność to element akcji „Ghostwriter”, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.

Wcześniej pisaliśmy, że według dziennika „Tagesspiegel” rosyjscy hakerzy od miesięcy atakują prywatne konta posłów Bundestagu oraz parlamentów krajów związkowych. Ofiarą miała paść m.in. Annalena Baerbock, kandydatka Zielonych na kanclerza Niemiec, znana z krytykowanie rosyjskiej polityki. Zdaniem dziennikarzy, którzy powołują się na informacje niemieckich służb, za pomocą dezinformacji i cyberataków Rosja usiłuje ingerować w zbliżające się wybory parlamentarne.

 

Sprawę cyberataków w Niemczech opisał już parę miesięcy temu „Der Spiegel”. Według publikacji z marca br., w ramach akcji „Ghostwriter” zaatakowanych zostało 7 członków Bundestagu i ponad 70 posłów do parlamentów niemieckich krajów związkowych. Źródła gazety w niemieckich służbach twierdziły, że była to pierwsza duża akcja tej grupy w Europie Zachodniej.

Przeczytaj: „Der Spiegel”: Rosyjscy hakerzy chcą wpłynąć na kampanię przed wyborami do Bundestagu

Czytaj również: Atak hakerski w Niemczech – zaatakowano m.in. parlamentarzystów

Niemieckie służby zintensyfikowały swoje działania, bo obawiają się obcej ingerencji we wrześniowe wybory do Bundestagu. W komentarzu dla serwisu „Deutsche Welle” rzecznik Federalnego Urzędu Bezpieczeństwa Technik Informatycznych (BSI) powiedział, że służby oceniają, iż „​​zagrożenie dla kandydatów w wyborach jest wysokie”. Ostrzegają też, że „nadal należy spodziewać się ataków na przestrzeń informacyjną”.

Ponadto, dziennikarze publicznych stacji WDR i BR ustalili, że w marcu br. szef Federalnego Urzędu Ochrony Konstytucji (BfV), Thomas Haldenwang, miał zeznać przed parlamentarną komisją ds. służb specjalnych, że o atak w ramach akcji „Ghostwriter” podejrzewany jest rosyjski wywiad wojskowy.

„DW” przytacza też doniesienia niemieckich mediów, według których celami cyberataków mieli być niemal wyłącznie politycy partii rządzących: CDU/CSU oraz SPD. Nie wiadomo jednak dokładnie, o ile osób chodzi o co im wykradziono, gdyż dane te są niejawne. Podano z kolei, że kampania „Ghostwriter” jest obserwowana przez Niemców od lutego br. Niemieckie służby miały wcześnie wykryć falę ataków, a potem poinformować dotknięte nim osoby. Niemieccy parlamentarzyści mieli otrzymać maile z informacją, że ich adresy e-mail, zarówno służbowe, jak i prywatne, mogą być celem „zaplanowanej kampanii phishingowej”, zaś wykradzione hasła i informacje mogą zostać wykorzystane do „uzyskania dostępu do kont w sieciach społecznościowych lub rozpowszechniania fałszywych informacji”.

Według WDR i BR, w Niemczech łącznie rozesłano ponad 200 maili, głównie na prywatne adresy zarejestrowane na popularnych domenach GMX i T-Mobile, spreparowanych w taki sposób, by wyłudzić podanie na niej swojego imienia oraz hasła.

W kwietniu br. kampanię „Ghostwriter” opisała amerykańska firma FireEye. W swoim raporcie wymieniła domeny, pod które podszywali się hakerzy z grupy UNC1151 – poza GMX i T-Mobile wymienione też adresy, które do złudzenia przypominają konta mailowe w polskich serwisach Onet.pl, Interia czy Wirtualna Polska. Dodajmy, że prywatne konto na jednej z tych domen miał szef KPRM, Michał Dworczyk.

„Deutsche Welle” zwraca uwagę, że kwestia służbowego wykorzystywania prywatnych skrzynek mailowych dotyczy nie tylko Polski, gdyż również w Niemczech członkowie rządu krytykowani są za korzystanie z prywatnych skrzynek mailowych w służbowych sprawach. Co więcej, niemieckie przepisy tej kwestii nie regulują. W sierpniu ub. roku w odpowiedzi na jedną interpelacji niemieckie MSW przyznało, że „nie można wykluczyć, że członkowie rządu kontaktują się również w sprawach urzędowych za pośrednictwem prywatnych adresów email”. Co więcej, takie prywatne wiadomości nie trafiają do akt, co później utrudnia wyjaśnianie ewentualnych nieprawidłowości.

Według dziennika „Die Welt”, w sprawie walki z pandemią koronawirusa z prywatnych adresów mailowych korzystali m.in. szef urzędu kanclerskiego Helge Braun oraz minister zdrowia Jens Spahn. Obaj są politykami CDU. Gazeta twierdzi też, że w ostatnich latach kilka razy okazywało się, że niemiecki rząd „komunikuje się w taki sposób, żeby nie pozostawić żadnych śladów”.

W Niemczech uważa się, że tam akcja „Ghostwriter” póki co nie jest jednak aż tak spektakularna. Zaznacza się, że hakerom nie udało się przeniknąć do rządowych systemów.

Niemieckie media zwracają też uwagę, że służby obawiają się powtórki z 2015 roku. Przypomnijmy, że rok temu ambasadora Rosji wezwano do MSZ Niemiec w związku z atakiem hakerskim na Bundestag z 2015 roku. Dyplomacie przekazano notę potępiającą „w możliwie najostrzejszy sposób” ten atak. Niemiecka prokuratura uważa, że stał za nim rosyjski wywiad.

Według niemieckiego magazynu „Spiegel”, dzięki cyberatakowi z 2015 roku zdołano wykraść zawartość dwóch skrzynek poczty elektronicznej biura kanclerz Merkel, z korespondencją z lat 2012-2015. Gazeta twierdzi, że za atakiem miała stać grupa cyberprzestępcza znana jako Fancy Bear lub APT28. Miała ona być również zaangażowana w działania hakerskich na zlecenie Kremla przed wyborami prezydenckimi w USA z 2016 roku. W wyniku cyberataku został sparaliżowany system informatyczny Bundestagu. Żeby usunąć jego skutki, przez wiele dni niemieccy parlamentarzyści musieli obyć się bez dostępu do sieci.

Przypomnijmy, że we wtorek rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn oświadczył, że ABW i SKW ustaliły, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych.

W piątek wicepremier ds. bezpieczeństwa i prezes PiS, Jarosław Kaczyński wydał oświadczenie w sprawie cyberataku na polskich polityków, w tym o zhackowaniu prywatnej skrzynki mailowej szefa KPRM, Michała Dworczyka.

Zobacz także: Norweski kontrwywiad podejrzewa rosyjską grupę Fancy Bear o cyberatak na parlament w Oslo

W poprzednią środę odbyły się tajne obrady Sejmu, podczas których przedstawiono informację rządu na temat ostatnich cyberataków na polityków PiS. Rząd przekazał, że zhakowanych miało zostać 4-4,5 tys. kont, a hakerzy przejęli łącznie około 70 tys. e-maili. Działania rządu i sposób informowania o sprawie krytykują politycy opozycji.

Miało to związek ze sprawą ataku hakerskiego na skrzynkę pocztową szefa Kancelarii Premiera, Michała Dworczyka. Wykradzione treści są konsekwentnie publikowane w serwisie społecznościowym Telegram. Przedstawiciele władz zaznaczają przy tym, że mają one być w różnym stopniu zmanipulowane, choć nie precyzują co i w jaki sposób.

Przypomnijmy, że w pierwszej połowie czerwca media poinformowały o zhackowaniu prywatnej skrzynki e-mail szefa Kancelarii Premiera, ministra Michała Dworczyka. Na facebookowym koncie jego żony pojawiło się nietypowe oświadczenie (później podano, że była to manipulacja), a na popularnym na wschodzie serwisie społecznościowym Telegram zamieszczono dokumenty, rzekomo wykradzione ze skrzynki szefa KPRM. Jeden z nich, z Departamentu Studiów Strategicznych, dotyczy ułatwień ws. osiedlania w Polsce Białorusinów. W nocy z wtorku na środę na profilu społecznościowym Michała Dworczyka pojawiło się oficjalne oświadczenie w tej sprawie. Szef KPRM potwierdził, że faktycznie doszło do cyberataku.

Przeczytaj: Afera mailowa: Morawiecki zorientował się po miesiącu, że Ukraińcy przyjęli antypolską uchwałę

dw.com / Kresy.pl