Niedawna aktualizacja raportu firmy Mandiant, zajmującej się cyberbezpieczeństwem, rzuciła nowe światło na grupę UNC1151, odpowiedzialną m.in. za włamanie na skrzynkę szefa KPRM Michała Dworczyka. Okazuje się, że za działania odpowiedzialny bezpośrednio jest reżim Łukaszenki, a nie, jak wcześniej sądzono, Kreml. Metody działania grupy hackerskiej opisywaliśmy już na naszym portalu.
Działania hackerów miały jednak konkretny cel wykraczający poza samo zdobycie wrażliwych informacji. Uzyskane w ich ramach informacje były wykorzystywane w kampanii wpływu opatrzonej przez Mandiant kryptonimem Ghostwriter. Skierowana ona była przede wszystkim do odbiorców z Polski, Litwy i Łotwy. Główna oś narracji dezinformacyjnej początkowo koncentrowała się wokół kwestii obecności wojsk NATO we wspomnianych państwach, mając na celu wywoływanie związanej z tym niechęci obywateli.
Kampania zmieniła jednak nieco charakter. I tak w styczniu 2021 roku firma Mandiant zaczęła badać aktywność hackerów w okresie od października 2020 roku do stycznia 2021 roku. Grupa UNC1151 przeprowadziła wtedy operację skierowaną bezpośrednio przeciwko Polsce. Wykorzystując zhackowane konta polityków, przede wszystkich z partii rządzącej i koalicyjnej rozpowszechniała treści dyskredytujące polski rząd oraz usiłowała wykorzystywać istniejące podziały dla zaostrzania sytuacji społecznej.
I tak w październiku na profilu na Twitterze posłanki PiS w jednym z tweetów podszywający się pod nią hackerzy nazwali zwolenniczki aborcji „narkomankami-prostytutkami i mordercami dzieci”. Podobny post, również obrażający przeciwniczki zaostrzenia przepisów antyaborcyjnych ukazał się po włamaniu na koncie w serwisie Facebook minister rodziny i polityki społecznej Marleny Maląg. Inną dyskredytującą narrację przyjęto podczas włamań na konta posłów PiS Marcina Duszka i Marka Suskiego. Tu uderzono w wątki obyczajowe. W przypadku Marka Suskiego insynuowano istnienie romansu między posłem, a lokalną polityczką Ewą Szarzyńską z Mogilna. Profile tej ostatniej również zostały w tym celu zhackowane.
Nieco inne były założenia, które przyjęła grupa UNC1151 podczas włamania na profil w serwisie Twitter posłanki Porozumienia Iwony Michałek w styczniu 2021 roku. Opublikowany przez hackerów wpis zawierał rysunek wicepremiera Jarosława Kaczyńskiego w stroju więziennym i oskarżenia pod adresem rządu PiS, zarzucające mu dyktatorskie metody, antydemokratyczność i szereg różnych przestępstw. Widać tu wyraźnie, że miało to służyć pogłębieniu kryzysu w koalicji rządzącej czy też wywarciu wrażenia, że kryzys ten jest głębszy niż w rzeczywistości albo wynika z innych pobudek.
Wyżej opisane działania miały dwa zasadnicze cele – dyskredytacja ośrodka rządowego, co prowadzi do osłabienia zaufania społeczeństwa do władzy i wykorzystanie kontrowersyjnych tematów, wywołujących duże emocje w społeczeństwie (aborcja) do pogłębienia już istniejących podziałów społecznych i politycznych. Skutek tych działań zobaczyć można obecnie chociażby w reakcji Polaków na kryzys migracyjny. Skuteczne działanie instytucji państwa zostało zbojkotowane, a wręcz było utrudniane przez niektóre osoby, w tym polityków, działaczy społecznych i znane osoby życia publicznego.
Co ciekawe, niektóre z tych profili, a także inne, były wykorzystywane także do rozpowszechniania fałszywego artykułu głoszącego tezy o rzekomym przygotowywaniu sił NATO na wojnę z Rosją, której areną miała stać się Polska. Artykuł był zręczną manipulacją, wykorzystującą fragmenty autentycznych artykułów informujących o spotkaniu ministrów obrony państw Sojuszu Północnoatlantyckiego. Do tego dopisano fałszywe tezy i sensacyjny tytuł, by siać w społeczeństwie polskim niechęć do NATO. Został on opublikowany na trzech portalach – Prawy.pl, Obserwator Nadodrzański i na stronie powiatu wschowskiego. Najprawdopodobniej publikacja była również możliwa w wyniku włamania na te strony.
Udział hackerów w kampaniach dezinformacyjnych jest czymś, z czego warto zdawać sobie sprawę. Przede wszystkim powinni wziąć to pod uwagę politycy i osoby publiczne i zadbać o lepsze zabezpieczenie swoich profili, chociażby za pomocą podwójnego uwierzytelniania. Z drugiej strony świadczy to o tym, że nawet pozornie zweryfikowane, oficjalne profile mogą publikować dezinformację, gdy padną ofiarą włamania – warto więc mieć zawsze dystans do zbyt szokujących informacji i wstrzymać się z ich udostępnianiem, bo szybko może się okazać, że nie miały wiele wspólnego z prawdą.
PMB
Źródło: Mandiant
Przypominamy, że za pomocą darmowego narzędzia, jakim jest Tłumacz Google (Google Translate), możliwe jest przetłumaczenie tego tekstu na ponad 100 języków.