„Ghostwriter”. Także niemieccy politycy na celowniku hakerów
23 czerwca 2021
Grupa UNC1151 stoi zdaniem polskiego rządu za atakiem hakerskim w ramach akcji „Ghostwriter”, której ofiarą miał paść m.in. szef kancelarii premiera Michał Dworczyk. Rzecznik ministra-koordynatora służb specjalnych Stanisław Żaryn poinformował, że „służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych”. Ich celem ma być destabilizacja sytuacji politycznej w krajach Europy Środkowej.
Od niedawna grupa ma być też aktywna w Niemczech. Jak ustalił w marcu br. „Der Spiegel”, w ramach akcji „Ghostwriter” zaatakowanych zostało 7 członków Bundestagu i ponad 70 posłów do parlamentów niemieckich krajów związkowych. Według źródeł gazety w niemieckich służbach była to pierwsza duża akcja tej grupy w Europie Zachodniej.
Atak postawił na nogi niemieckie służby, bo we wrześniu w Niemczech odbędą się wybory do Bundestagu. – Oceniamy, że zagrożenie dla kandydatów w wyborach jest wysokie. Nadal należy spodziewać się ataków na przestrzeń informacyjną – powiedział DW rzecznik Federalnego Urzędu Bezpieczeństwa Technik Informatycznych (BSI).
Niemcy podejrzewają rosyjski wywiad
Jak ustalili dziennikarze publicznych stacji WDR i BR, szef Federalnego Urzędu Ochrony Konstytucji (BfV) Thomas Haldenwang miał zeznać w marcu przed parlamentarną komisją ds. służb specjalnych, że o atak w ramach akcji „Ghostwriter” podejrzewany jest rosyjski wywiad wojskowy GRU.
Według niemieckich mediów na celowniku hakerów mieli być niemal wyłącznie politycy rządzących partii CDU/CSU oraz SPD. Nie wiadomo ilu z nich wpadło w pułapkę, a także czy i jakie dane zostały im wykradzione. Na razie żadne z nich nie zostały upublicznione. Niemcy obserwują kampanię „Ghostwriter” od lutego br. Według WDR i BR służby „wcześnie wykryły falę ataków, a następnie poinformowały dotknięte osoby”.
W listach, które służby miały rozesłać do parlamentarzystów, mowa ma być m.in. o tym, że ich „służbowe i/lub prywatne adresy email” mogą być celem „zaplanowanej kampanii phishingowej”. Zdobyte hasła i informacje mogą być wykorzystane do „uzyskania dostępu do kont w sieciach społecznościowych lub rozpowszechniania fałszywych informacji”.
Na celowniku prywatne skrzynki
W Polsce zaatakowanych zostało zdaniem rządu 4350 adresów, w tym ok. 100 należących do osób pełniących funkcje publiczne. W pułapkę miało wpaść ok. 500 osób.
W Niemczech według WDR i BR łącznie rozesłano ponad 200 maili, przede wszystkim na prywatne adresy zarejestrowane na popularnych domenach GMX i T-Mobile. W wiadomościach adresaci proszeni byli o udowodnienie, że „nie są botami spamującymi” poprzez wejście na specjalną stronę internetową i podanie na niej swojego imienia oraz hasła. W przeciwnym wypadku ich skrzynka miała zostać zablokowana w ciągu trzech dni.
Amerykańska firma FireEye, która jako pierwsza opisała kampanię „Ghostwriter”, w raporcie z kwietnia br. wymieniła domeny, pod które podszywali się hakerzy UNC1151. Obok wspomnianych niemieckich GMX i T-Mobile wymienione są adresy, które do złudzenia przypominają te Onetu, Interii, czy Wirtualnej Polski. To z prywatnej skrzynki na tym ostatnim portalu miał korzystać szef kancelarii premiera Michał Dworczyk.
Rządowe maile z prywatnych adresów - problem także w Niemczech
Wśród rzekomych materiałów z jego skrzynki pocztowej opublikowanych w komunikatorze Telegram wiele kontrowersji wzbudzają zdjęcia korespondencji, jaką miał prowadzić z innymi pracownikami kancelarii premiera. Mają one pokazywać, że nie tylko Dworczyk, ale także premier Mateusz Morawiecki, czy rzecznik rządu Piotr Müller, używali prywatnych adresów email do prowadzenia służbowej korespondencji.
Także w Niemczech członkowie rządu krytykowani są za korzystanie z prywatnych skrzynek mailowych w służbowych sprawach. Co więcej, nie ma prawa regulującego ich używanie: „Nie można wykluczyć, że członkowie rządu kontaktują się również w sprawach urzędowych za pośrednictwem prywatnych adresów email”, odpowiedziało w sierpniu 2020 roku niemieckie MSW na poselską interpelację w tej sprawie.
Prywatne maile i SMS-y nie trafiają do akt, co później utrudnia wyjaśnianie ewentualnych nieprawidłowości. Jak ustalił dziennik „Die Welt”, w sprawie walki z pandemią koronawirusa z prywatnych adresów mailowych korzystali szef urzędu kanclerskiego Helge Braun oraz minister zdrowia Jens Spahn (obaj CDU). „W ostatnich latach kilkakrotnie okazywało się, że rząd komunikuje się w taki sposób, żeby nie pozostawić żadnych śladów”, pisał „Die Welt”.
Obawy o powtórkę z 2015 roku
Na razie nie wiadomo publicznie, którzy z niemieckich polityków zostali zhakowani w ramach akcji „Ghostwriter”. Jak dotąd najpoważniejszy cyberatak na niemieckich polityków miał miejsce wiosną 2015 roku, gdy sprawcom udało się przeniknąć do wewnętrznego systemu Bundestagu. Szacuje się, że ukradli wtedy nawet 16 gigabajtów danych, wśród nich tysiące e-maili i dokumentów parlamentarzystów. Włamano się także do dwóch komputerów w biurze kanclerz Angeli Merkel.
O przeprowadzenie tamtego ataku niemiecka prokuratura federalna oskarża rosyjski wywiad wojskowy GRU, ten sam który teraz ma stać za akcją „Ghostwriter”. W związku z tamtym atakiem w zeszłym roku wystawiono w Niemczech nakaz aresztowania 30-letniego Rosjanina Dmitrija Badina, który ma być hakerem pracującym dla GRU. Akcja „Ghostwriter” przynajmniej w Niemczech jest na razie mniej spektakularna – jak donoszą niemieckie media, hakerom nie udało się przeniknąć do rządowych systemów.