Wykradzione zdjęcia polskiej żołnierki, fałszywe profile, przejęte konta polityków i zhakowany portal

Niektóre akcje dezinformacyjne, jakie widzimy w polskim internecie, są względnie proste – jeden wpis, grupa botów podaje dalej, koniec akcji – chwyciło albo i nie. Czasem jednak zdarzają się historie tak rozbudowane, jak rodem ze słabego thrillera politycznego. To właśnie ten przypadek.

Opisywany poniżej atak to tylko jedno z około pięćdziesięciu analogicznych wydarzeń, jakie omówię już w środę na żywo na prezentacji Polityczni hakerzy – jak Rosja sieje dezinformację. Dołączyć można pod tym linkiem.

Anatomia dezinformacji

25 lutego 2021 roku w serwisie DateZone pojawił się profil stworzony w oparciu o wykradzione dane polskiej żołnierki. Jego treść sugerowała, że ta osoba oferuje usługi towarzyskie VIP-om, w tym generałom i prezydentom.

Nikt pewnie nie zwróciłby na tę stronę uwagi, gdyby nie kolejne etapy kampanii. Krótko potem napastnicy opublikowali wiadomość z przejętego konta Twittera Włodzimierza Bernackiego, ówczesnego wiceministra nauki.

Wpisów było kilka, wszystkie pałały świętym oburzeniem. Kolejnym etapem była analogiczna publikacja na fałszywym (lub po prostu w ogóle nieużywanym) koncie Twittera senatora PiS-u, Marka Martynowskiego.

Autorom ataku nadal było mało – szkoda przecież, by taka „dobra” akcja się zmarnowała. Po chwili kolejny wpis pojawił się na stronie posłanki PiS Elżbiety Witek.

To oczywiście nie koniec tej historii. Dzień później włamywacze opublikowali fałszywy artykuł w serwisie Tygodnika Solidarność tysol.pl.

Oparli go na wskazywanych wcześniej fałszywych wpisach na kontach i stronach polityków.

Tu można by pomyśleć, że trud ich zakończon, ale nie, sprawa żyła dalej, tylko zmieniła terytorium. Tym razem użyto przejętych kont Facebooka litewskich polityków, by opisać aferę wraz z sugestią, że w gronie „klientów” ofiary ataku byli także litewscy generałowie.

Nadal mało? Sprawcy wysłali także liczne e-maile, podszywając się pod posłankę litewskiego parlamentu.

To tylko jeden z kilkudziesięciu przykładów

Za atakiem najprawdopodobniej stoją funkcjonariusze białoruskiego Ministerstwa Obrony (być może współpracujący z Rosjanami), których grupa znana jest jako UNC1151 (także Pushcha, TA445, Storm-0257/DEV-0257, Moonscape oraz UAC-0051), a kampania otrzymała miano Ghostwriter. W środę o godzinie 20:00 opowiem o ok. 50 atakach, gdzie ktoś z Rosji lub Białorusi włamywał się do polskich serwisów i kont polskich polityków, by siać dezinformację. Pełną listę omawianych incydentów znajdziecie poniżej, a zapisać się na webinar możecie, klikając w poniższy obrazek. Slajdów mam ponad 400 – serdecznie zapraszam do wspólnej uczty.

Lista omawianych incydentów

• styczeń 2014 – rzekome włamanie ukraińskich nazistów na stronę Zielonych
• październik 2014 – ataki na strony polskich firm z sektora energetycznego
• październik 2014 – włamanie do GPW
• lipiec 2016 – operacja pod fałszywą flagą, włamanie do Netii
• lipiec 2016 – operacja pod fałszywą flagą, włamanie do komputera MON
• 2016 – 2017 – cykl ataków „Anonymous Poland”
• lipiec 2016 – włamanie „arabskich terrorystów” na stronę Mesko
• styczeń 2017 – rzekomy marsz przeciwko wojskom NATO
• marzec 2017 – rzekomy wpis dowódcy generalnego rodzajów sił zbrojnych
• czerwiec 2017 – wpisy o tym, jak manewry Dragon 17 rozpętają wojnę
• wrzesień 2017 – fałszywe wypowiedzi szefa sztabu generalnego
• wrzesień 2017 – sfabrykowana historia gwałtów, oszustw i pijaństwa amerykańskiego żołnierza w Polsce
• wrzesień 2017 – fałszywy apel Kukiza o wycofanie wojsk USA z Polski
• marzec 2018 – rzekomy wypadek amerykańskich żołnierzy z polskimi ofiarami
• maj 2018 – ataki rzekomych islamistów na polskie serwisy internetowe
• wrzesień 2018 – rzekome skażenie uranem
• listopad 2018 – rzekoma ewakuacja mieszkańców z powodu ćwiczeń Anakonda 18
• listopad 2018 – fałszywe SMS-y o mobilizacji
• kwiecień 2019 – żołnierz NATO w Polsce rzekomo ścigany za zabójstwo
• czerwiec 2019 – rzekoma ewakuacja z powodu ćwiczeń Dragon 19
• wrzesień 2019 – rzekoma restytucja mienia niemieckich uciekinierów
• grudzień 2019 – rzekoma narkomania w Kawalerii Pancernej
• styczeń 2020 – rzekoma śmierć polskiego dowódcy w Iraku
• styczeń 2020 – ponowny marsz przeciwko NATO w Orzyszu
• kwiecień 2020 – fałszywy list rektora Akademii Sztuki Wojennej
• maj 2020 – fałszywe skargi amerykańskich żołnierzy podczas ćwiczeń Defender 20
• lipiec 2020 – rzekomy litewski oficer szpiegujący w Polsce
• wrzesień 2020 – rzekome wezwanie do wysłania wojsk na Białoruś
• październik 2020 – rzekome przygotowania do wojny z Rosją
• październik 2020 – fałszywe wpisy posłów PiS-u
• listopad 2020 – następny fałszywy wpis posła PiS-u
• listopad 2020 – Polska rzekomo oskarżona o szkolenie terrorystów atakujących Litwę
• listopad 2020 – przejęte konto Marka Kuchcińskiego
• grudzień 2020 – rzekomo zatrzymany polski dyplomata na Litwie
• grudzień 2020 – przejęte konto Tadeusza Cymańskiego
• grudzień 2020 – kontrowersyjny wpis z konta Marleny Maląg
• styczeń 2021 – seria kontrowersyjnych wpisów polityków PiS-u
• styczeń 2021 – „afera obyczajowa” wokół Marka Suskiego
• luty 2021 – afera wokół polskiej żołnierki
• marzec 2021 – rzekome skażenie radioaktywne
• marzec 2021 – afera wokół rzekomego budżetu na wspieranie białoruskiej opozycji
• czerwiec 2021 – matka wszystkich afer, skrzynka ministra Dworczyka
• czerwiec 2021 – znowu afera z finansowaniem białoruskiej opozycji
• sierpień 2021 – rzekome morderstwo polskiego księdza na Litwie przez imigrantów
• listopad 2021 – rzekomy udział ukraińskich ochotników w ochronie polskich granic
• listopad 2021 – znowu rzekome skażenie radioaktywne
• styczeń 2022 – rzekomy polski atak na ukraińskie instytucje rządowe
• maj 2023 – rzekome zwłoki białoruskich bojowników w polskim szpitalu
• październik 2023 – rzekome darmowe pogrzeby dla emerytów jako część kampanii wyborczej PiS-u

Jak widzicie, będę miał o czym opowiadać :) Zapraszam i do zobaczenia!

W opracowaniu artykułu wykorzystałem:

• reportaż Fundacji Reporterów Priwiet, przejęliśmy twoje konto
• raport Mandianta Ghostwriter Update
• serwis archive.today