Jau keletą mėnesių kažkas sistemingai laužiasi į Lenkijos politikų, žurnalistų ir kariškių pašto dėžutes bei socialinių tinklų paskyras. Skleidžiamos melagingos naujienos, nukreiptos prieš Lietuvos-Lenkijos santykius, konkrečius politikus bei institucijas.
Lenkijos organizacijos „Fundacja Reporterów“ tyrimas, prie kurio prisidėjo ir „Siena“, rodo, kad už išpuolių gali stovėti programišių grupuotė žinoma kaip „Ghostwriters“ ir veikianti Kremliaus interesų naudai.
„Jau užgrobta tūkstančiai paskyrų. Tai tiksinti bomba“, – teigia Lenkijos žurnalistų šaltinis slaptosiose tarnybose.
Melagingų žinių kampanijos, vykdomos per nulaužtas paskyras, Lenkijoje pasikartoja kas keletą savaičių, tačiau sulaukia nedaug dėmesio. Lenkijos politikai grėsmės nesureikšmina, nors per trumpą laiką buvo įsilaužta į kaimyninės šalies parlamento pirmininkės, vyriausybės narių bei parlamentarų paskyras – įskaitant žvalgybą kuruojančio komiteto narius.
Viskas paprastai prasideda nuo phishingo. Paprastai tariant, išpuolių vykdytojai sukuria įrašus socialiniuose tinkluose ar naudoja kitas elektronines paslaugas (pvz., elektroninius laiškus), talpinant nuorodas, kurios naudojamos aukos duomenų išgavimui. Kitaip tariant – žvejojami prisijungimo prie el. pašto ar socialinių tinklų duomenys.
Sėkmingo išpuolio atveju, programišiai gauna prieigą prie aukos elektroninio pašto dėžutės – laiškų, kontaktų ir viso kito. Jei el. paštas susietas su socialinių tinklų paskyromis ar tas pats slaptažodis naudojamas skirtingose vietose – phishingas atveria duris visur, net iki informacijos, saugomos aukos telefone. Perimtos „Facebook“ ir „Twitter“ paskyros vėliau panaudojamos melagienų sklaidai.
Šokiruojantys ir nieko bendro su tikrove neturintys politikų įrašai socialiniuose tinkluose – tik ledkalnio viršūnė. Phishinogo išpuoliams gali būti naudojamos suklastotos interneto svetainės, neva valdomos valstybės institucijų, susirašinėjimas iš kitų užgrobtų paskyrų ir kt.
„Fundacja Reporterów“ duomenimis, tokie išpuoliai Lenkijoje jau pridarė daug žalos. „Operacija, kuria siekama surinkti „kompromatą“ prieš parlamentarus, žurnalistus ir analitikus, tęsiasi jau keletą mėnesių. Per phishingo išpuolius puolami el. pašto adresai nėra atsitiktiniai. Tarp taikinių – ir politikų artimieji“, – sakė šaltinis slaptosiose tarnybose.
„Lietuvos specialiosios tarnybos kaltina Lenkiją rengiant ekstremistus“. „Seksualinis priekabiavimas Krašto apsaugos ministerijoje. Skandalas pasiekė prezidentą Dudą, Lietuvos diplomatijos šefą ir Amerikos generolus“. „Nacionalinė atominės energetikos agentūra skelbia pavojų! Lenkijoje – radiacijos grėsmė“.
Tai tik keletas melagienų, kurias per užgrobtas svetaines ar socialinių tinklų paskyras Lenkijoje pastaraisiais mėnesiais skleidė nežinomi užpuolikai.
Vienas naujausių išpuolių įvyko kovo 17 d. Kaip skelbė portalas niebezpiecznik.pl, tam panaudota suklastota interneto svetainė, imituojanti Valstybinės atominės energetikos saugos inspekcijos (VATESI) interneto puslapį. Tam išpirktas domenas vatesl.lt, tik viena raide besiskiriantis nuo tikrojo inspekcijos puslapio.
Per vatesl.lt buvo pranešta apie Lietuvoje neva įvykusį radiacinį incidentą. Netrukus analogiška informacija paskleista tikruose Lenkijos tarnybų puslapiuose, įskaitant oficialią Lenkijos Sveikatos apsaugos ministerijos svetainę.
Melagienų sklaidai netrukus panaudota užgrobta žurnalisto Mareko Budziszo paskyra socialiniame tinkle „Twitter“, taip pat – poros Lenkijos politikų paskyros.
Lenkijos portalai, besispecializuojantys saugumo ir faktų tikrinimo srityse, netruko pastebėti, kas nutiko. Tikėtina, kad buvo įsilaužta ne tik į šalies kaimynės institucijų puslapius, bet ir į įmonės, teikiančios puslapių talpinimo ir priežiūros paslaugas, informacines sistemas. Taip pat pastebėta, kad atominė melagiena paskleista tuomet, kai vyko Lenkijos ir Prancūzijos derybos dėl branduolinės elektrinės statybų.
Domenų registro duomenimis, prieiga prie domeno vatesl.lt šiuo metu yra apribota, domeno statusas – „karantinas“, ir tai neturi nieko bendro su COVID-19 pandemija. Domenas įsigytas kovo 17 d. rytą – tą pačią dieną, kai paskleistos melagienos apie menamą radiacinį incidentą Lietuvoje.
Kam domenas priklauso, informacija neteikiama. Žinoma tik tiek, kad tai fizinis asmuo.
Visą šios informacinės atakos eigą galite panagrinėti šiame infografike:
Dar viena ataka prieš Lietuvos-Lenkijos santykius įvykdyta vasario 25 d. Pasinaudojant įsilaužimu į Lenkijos parlamento pirmininkės puslapį ir portalą tysol.pl, mėginta sukurti menamą sekso skandalą.
Pirmasis šio plano žingsnis veikiausiai buvo įsilaužimas į NATO pajėgose tarnaujančios karės paštą apie socialinių tinklų paskyras. Tuomet, pasinaudojant jos privačiomis nuotraukomis, sukurtas skelbimas sekso paslaugų svetainėje su štai tokiu turiniu: „Mano talentas jau palietė daugelį širdžių, jį ilgai prisimins daug pasaulio lyderių, VIP‘ų ir generolų“. Tarp nuotraukų – akimirka iš karės misijos Kuveite, kur ji nusifotografavo su Lenkijos prezidentu Andzrejumi Duda.
Šio skelbimo nuotrauka paviešinta per nulaužtą Lenkijos politiko, mokslo viceministro Włodzimierzo Bernackio paskyrą „Twitter“ bei dar vieną politiko paskyrą – tik suklastotą.
Netrukus panašus turinys atsidūrė Lenkijos parlamento pirmininkės svetainėje – su melagingu pranešimu, neva pradedamas „prostitucijos tinklo tyrimas“. Tuoj po to, viename nulaužtame Lenkijos portale, paskleista melagiena apie menamą sekso skandalą, skelbiant, neva Lenkijos karinėse pajėgose besidarbuojančios elitinės prostitutės aptarnavo ir dabartinį Lietuvos užsienio reikalų ministrą Gabrielių Landsbergį.
Šią melagieną buvo bandoma skleisti ir Lietuvoje. Užsienio reikalų ministerija ir kitos tarnybos greitai sureagavo į išpuolį ir jį neutralizavo.
Analizuojant šiuos ir kitus neseniai vykdytus išpuolius, atpažįstamas grupuotės „Ghostwriters“ braižas.
„FireEye“, viena stipriausių JAV įmonių, besispecializuojančių kibernetinių nusikaltimų išaiškinime, pernai skelbtoje ataskaitoje identifikavo šią grupuotę ir jos veiklos metodus.
„Operacijos (vykstančios nuo 2017 m.) pirmiausiai taikomos į Lietuvos, Latvijos ir Lenkijos auditoriją, su naratyvais, nukreiptais prieš NATO, dažnai pasitelkiant interneto svetainių pažeidžiamumą ar suklastotus elektroninius laiškus netikro turinio sklaidai, įskaitant suklastotą kariuomenės pareigūnų korespondenciją“, – rašė „FireEye“.
Daugelis „FireEye“ analizuotų išpuolių braižu atitiko tuos, kurie nagrinėjami ir šioje istorijoje. Išpuoliams naudoti įsilaužimai į svetaines, skleidžiant melagienas, nukreiptas ne tik į Lietuvos-Lenkijos santykius ar NATO, bet ir į įvykius Baltarusijoje.
Pavyzdžiui, buvo paskleista melagiena, neva Lietuvos ir Lenkijos užsienio reikalų ministrai „už uždarų durų“ sutarė inicijuoti tarptautinių taikdarių įvedimą į Baltarusijos teritoriją. Tarp pasitelktų metodų – suklastotas elektroninis laiškas, neva iš Lietuvos užsienio reikalų ministerijos, nusiųstas JAV leidiniui „The New Yorker“, patvirtinant, neva toks pokalbis tarp ministrų tikrai įvyko.
Tiek ankstesni, tiek dabartiniai išpuoliai turi daug bendrų vardiklių. Įsilaužiama į nišinius žiniasklaidos kanalus, institucijų puslapius, pagal įstaigų puslapius kuriamos suklastotos interneto svetainės. Naujas elementas – tai užgrobtų paskyrų socialiniuose tinkluose naudojimas. Toks įrankis smarkiai padidina tikimybę sėkmingai paskleisti netikras naujienas.
Su šiomis atakomis gerai susipažinęs pilietinio atsparumo centro „Res Publica“ vadovas Giedrius Sakalauskas „Sienai“ teigė, kad išpuoliai tampa vis geriau apgalvoti, panaudojamas vis platesnis priemonių arsenalas.
„Tai priešiškų jėgų kampanijos dalis. (...) Lietuvos-Lenkijos santykiai yra vienas iš pagrindinių taikinių, – kalbėjo G.Sakalauskas. – Tai intensyvėja ir tai darosi technologiškai vis labiau sofistikuota. Tai tampa kompleksinėmis atakomis – ne vien puslapių užgrobimu. Tai rišama kartu su informacijos skleidimu per kitus šaltinius.“
Paklaustas, ar atakose įžvelgia „Ghostwriter“ pėdsaką, pašnekovas teigė negalintis rodyti pirštu į konkrečią grupuotę. Tačiau pridūrė, kad nekyla abejonių dėl to, kieno naudai veikia šių išpuolių autoriai.
„Jie sumaniai dengiasi, ir įvardinti ar atvirai kaltinti kažką – labai sunku. Bet mes turim labai aiškią nuojautą, iš kur tai ateina“, – sakė G.Sakalauskas.
Pasak jo, svarbiausia tai, kad Lietuvos ir Lenkijos tarnybos laiku reaguoja ir spėja neutralizuoti išpuolius, kol jie nepridarė rimtos žalos.
Kreipėmės į Lietuvos užsienio reikalų ministeriją ir Kibernetinio saugumo centrą. Abi institucijos teigė neturinčios informacijos, kuri patvirtintų, kad už išpuolių stovi būtent „Ghostwriters“ grupuotė.
Užsienio reikalų ministerija išpuoliuose įžvelgia aiškią kryptį. „Šių atakų tikslai buvo pakenkti Lietuvos-Lenkijos santykiams, draugiškiems ryšiams tarp abiejų tautų bei Lietuvos ir Lenkijos strateginiams interesams (sąjungininkų kariniam buvimui regione, interesui kaimynystėje matyti stabilią, taikią ir demokratinę Baltarusiją). Greitos reakcijos ir bendradarbiavimo su Lenkijos kolegomis dėka šių atakų žala buvo labai ribota“, – raštu pateiktame komentare teigia URM.
Ministerijos vertinimu, išpuoliais siekta ne tik pakenkti valstybių tarpusavio santykiams, bet ir patikrinti, kaip reaguojama į tokias atakas, ieškant silpnųjų vietų.
„Nors šiuo metu tokio pobūdžio išpuoliai rimtų nuostolių nepadaro, tačiau juos reikia vertinti labai rimtai, kadangi visomis panašiomis atakomis (informacinėmis, kibernetinėmis, hibridinėmis) kryptingai siekiama padaryti žalą Lietuvos nacionaliniams ir tarptautiniams interesams“, – pažymi URM.
Tai sutrumpinta tarptautinio žurnalistinio tyrimo versija. Pilną Anna Gielewska ir Konrad Szczygieł parengtą tyrimą (anglų k.) skaitykite čia.
Tyrimas iš dalies finansuojamas Spaudos, radijo ir televizijos rėmimo fondo lėšomis.