Cyberprzestępcy uderzyli w samo południe… A atak wyglądał na perfekcyjnie zorganizowany - wybrano cel, prominentną osobę rektora-komendanta uczelni zreformowanej przez Ministra Macierewicza, który po przyjściu na stanowisko w resorcie obrony dokonał zmian w działaniu uczelni, które nie ograniczyły się tylko do nadania nowej nazwy. Dla uwiarygodnienia działań podszywano się również pod byłego posła Tadeusza Arkita i pod jego sejmową skrzynkę. Następnie wybrano portale, na których umieszczono spreparowane artykuły, aby dokonać kolejnego uwiarygodnienia treści. Jak przebiegał atak? Ile podmiotów i w jaki sposób wykorzystano do niego? Czy mamy do czynienia z kolejną zorganizowaną akcją dezinformacyjną?

Etap I

22 kwietnia - samo południe: zamieszczenie spreparowanego listu otwartego rektora-komendanta Akademii Sztuki Wojennej na stronie uczelni

W spreparowanym na potrzeby przeprowadzenia ataku liście otwartym, który pojawił się na stronie Akademii Sztuki Wojennej rzekomego autorstwa rektora Akademii Sztuki Wojennej Gen. bryg. dr inż. Ryszarda Parafianowicza, zawarto wiele szkodliwych informacji nie tylko dla dobrego imienia rektora-komendanta i uczelni, ale również dla wizerunku całego kraju. Komunikat na oficjalnej stronie pojawił się w wyniku włamania do CMS (system do zarządzania treścią na stronie). Incydent miał miejsce w południe 22 kwietnia br., jednak zaraz po umieszczeniu fałszywego listu, zaalarmowane zostają władze uczelni przez resort obrony narodowej.

W liście skierowanym do najwyższych dowódców wojskowych w kraju, uderzono zarówno w rząd Prawa i Sprawiedliwości jak i również próbowano naruszyć stosunki polsko-amerykańskie. Autorzy spreparowanych słów Rektora ASzWoj, zarzucają partii rządzącej, że Polska za ich sprawą bierze udział “w różnych aferach USA” a Amerykanie pod pozorem zapewnienia bezpieczeństwa wschodniej flance NATO, “robią swoje interesy i próbują demonstrować swoją siłę wojskową” (pisownia oryginalna). W dalszej części następuje uderzenie w polsko-amerykańskie relacje oraz próba wskazania na niesprawiedliwe oskarżenia względem Federacji Rosyjskiej. “Nastąpiła amerykańska okupacja tak zwana dobrowolna, ale dla nas przymusowa. Przeprowadzenie manewrów Defender Europe 20 w pobliżu granicy rosyjskiej jest oczywistą prowokacją i niejako sugestią, jakoby istotne zagrożenie dla Polski i w ogóle dla całego Sojuszu faktycznie pochodziło właśnie z Rosji. Dzisiaj nad rozumem dominują fobie rządzących. Naszego bezpieczeństwa to nie zwiększa, Polska jest raczej postrzegana jako pole walki”. Schemat ten znany jest z licznych prokremlowskich portali informacyjnych oraz wcześniej odnotowanej próby uderzenia w amerykańskie ćwiczenia wojskowe Defender 2020.

Znanym schematem jest również wykorzystanie kwestii historycznych, które dotychczas stosowano do celów prowadzenia kampanii dezinformacyjnych przez prokremlowskie źródła - “Pod opieką państwa odradza się ideologia faszyzmu, która uśmierciła wcześniej 6 milionów Polaków. Z bólem w sercu muszę stwierdzić, że płynie ona również z Ministerstwa Obrony Narodowej.” - czytamy dalej w rzekomym liście rektora-komendanta ASzWoj. “Dzisiaj służycie złu, służycie kłamstwu i budowaniu międzynarodowych podziałów. Pod kierownictwem polityków PiS, nie przyczyniacie się do budowy potencjału obronnego wojska ani też jego morale! Krew u nas zawsze jest tania, ale tym razem politycy grają Waszą krwią. To Wasze życie, Wasze decyzje i Wasz wstyd!” (pisownia oryginalna) - brzmią oskarżycielsko skierowane do dowódców wojskowych słowa rzekomo skierowane przez generała.

Rzecznik prasowy rektora-komendanta Akademii Sztuki Wojennej, ppłk Mariusz Młynarczyk w komentarzu do sprawy potwierdził, że w dniu 22 kwietnia br. doszło do ataku na stronę internetową uczelni w wyniku, którego zamieszczono spreparowaną wypowiedź generała Ryszarda Parafianowicza. Strona uczelni została wyłączona do momentu zbadania mechanizmu ataku.

Również treść rzekomego listu rektora-komendanta stanowi bardzo interesujący obiekt do analizy. Zdziwienie budzi przede wszystkim względna poprawność językowa tekstu. Jak jednak się okazuje, tekst jest w rzeczywistości zlepkiem zredagowanych, wybranych cytatów z innych portali - m.in Niezależnego Dziennika Politycznego, Związku Żołnierzy Wojska Polskiego, Sputnik Polska, the Fad oraz wypowiedzi innego prominentnego przedstawiciela polskiej armii.

Etap II

22 kwietnia: tuż po południu: opublikowanie informacji na portalach informacyjnych

Artykuły o złowrogo brzmiącym nagłówku “Skandaliczny list rektora Akademii Sztuki Wojennej: Politycy PiS prowadzą nas do katastrofy” opublikowano na dwóch stronach zarządzanych przez księdza Ryszarda Halwę - Prawy.pl oraz Lewy.pl. Oba artykuły zamieszczono z datą wsteczną - luty 2019 rok (lewy.pl) oraz luty 2020 rok (prawy.pl). Na portalu Prawy.pl widnieje również przypisanie autorstwa artykułu znanemu publicyście Stanisławowi Michalkiewiczowi. Oba portale, propagujące prawicowe treści są śledzone przez znaczne grono odbiorców. Tylko za pośrednictwem Facebooka oficjalny profil serwisu Prawy.pl śledzi 32 tys. Użytkowników.

W sprawie publikacji na portalach Prawy.pl oraz Lewy.pl skontaktowaliśmy się z redakcją obu portali. Redakcja stanowczo zaprzecza, że jest autorem artykułów za pomocą których próbowano rozpowszechnić sfabrykowane słowa rektora-komendanta uczelni: "Informujemy, że artykuł „Skandaliczny list rektora Akademii Sztuki Wojennej: Politycy PiS prowadzą nas do katastrofy", który ukazał się na naszej stronie Prawy.pl, datowany na 27 lutego 2020 r., a także na stronie Lewy.pl, nie był przez nas publikowany na naszej stronie, ani promowany przez nas w mediach społecznościowych. Padliśmy ofiarą cyberprzestępstwa i odcinamy się od treści zawartych w powyższym tekście. Trwa wyjaśnianie okoliczności tego ataku" - potwierdził Ks. Ryszard Halwa, redaktor naczelny Prawy.pl i Lewy.pl wraz z całą redakcją.

Etap III

22 kwietnia: popołudnie: uwiarygodnienie wiadomości na zagranicznych portalach

Informacja o publikacji listu rektora-komendanta oprócz na polskich serwisach pojawiła się również na anglojęzycznym portalu The Duran pod tytułem “Polish General encourages polish soldiers to fight against american occupation” (tłum. Polski generał zachęca polskich żołnierzy do walki przeciwko amerykańskiemu okupantowi). Artykuł w języku angielskim pojawił się w niedługim czasie po publikacji na stronie ASzWoju, co wzbudza istotne podejrzenia, że przygotowano go wcześniej, a atak był zorganizowany. Treść listu prawdopodobnie miała wyciec poza granicę Polski i w teorii przyczynić się do osłabienia amerykańsko-polskich relacji oraz podważyć sens stacjonowania wojsk amerykańskich w Polsce.

Portal The Duran jest profesjonalnie wyglądającym serwisem poświęconym tematyce wojskowej, stosującym zaawansowane metody dezinformacji poprzez łączenie fake newsów z prawdziwym treściami. Na fake newsy zamieszczane na portalu nabierali się nawet znani eksperci.

Etap IV

22 kwietnia: tuż przed 15.00: uwiarygodnienie informacji poprzez nazwisko Posła na Sejm

To nie jedyny element operacji dezinformującej. Na skrzynki naszej redakcji wysłano wiadomość z adresu tadeusz.arkit@sejm.pl, który na pierwszy rzut oka wygląda na adres należący do byłego posła Tadeusza Arkita z Platformy Obywatelskiej, który zasiadał w sejmie VI i VII kadencji (2007-2015), a obecnie jest radnym sejmiku małopolskiego. Treść maila brzmiała następująco:

“Szanowni Państwo, Chciałbym zaoferować Państwu publikację na portalu Akademii Sztuki Wojennej rektora gen. Bryg. inż. Ryszarda Parafianowicza: listy otwarty to wojskowych” (pisownia oryginalna).

Do treści wiadomości dołączono dwa linki. Jeden prowadzący do wiadomości na stronie Akademii Sztuki Wojennej, drugi do portalu archiwizującego treści w Internecie. Autor podszywający się pod posła, zdaje sobie sprawę, że fałszywy list zniknie ze strony ASzWoju, dlatego zabezpieczył się na taką ewentualność archiwizując jego treść.

Schemat działania jest bardzo podobny, który został wykorzystany przy wcześniejszej próbie ataku na redakcję Defence24.pl. Przypomnimy, że atak miał miejsce w styczniu br. Wówczas na skrzynki mailowe wybranych instytucji oraz naszej redakcji trafiły wiadomości wysyłane przez cyberprzestępców podszywających się pod pracownika Grupy Defence24. Wiadomość zawierała prośbę o udzielenie komentarza do nieprawdziwej informacji o organizacji przez Urząd Miejski i burmistrza Orzysza Zbigniewa Włodkowskiego marszu „Nie dla wojsk USA w Polsce!”? oraz link do artykułu. Nieprawdziwa informacja została zamieszczona przez hakerów na kilku lokalnych portalach prasowych, po tym jak złamano ich zabezpieczenia CMSów.

Zastosowany schematy operacji w obecnie analizowanym przypadku jest jednak bardziej zaawansowany. Po pierwsze udało się zhakować CMSa strony internetowej uczelni wojskowej, czyli celu, który powinien być trudniejszy do zaatakowania od lokalnych portali. Po drugie w fałszywym mailu znalazł się również odnośnik do zarchiwizowanej treści (!), co oznacza, że twórcy operacji zabezpieczyli się na wypadek usunięcia komunikatu ze strony uczelni - link pozwala na zapoznanie się z treścią, nawet po jej skasowaniu ze strony ASzWoj.

Wreszcie ciekawy jest wątek umiędzynarodowienia sprawy, poprzez publikację na portalu The Duran, co może oznaczać chęć dotarcia do międzynarodowego gremium i przede wszystkim Amerykanów z pożądanym komunikatem.

Były poseł, a obecnie radny Sejmiku Województwa Małopolskiego Tadeusz Arkit o sprawie wykorzystywania jego personaliów do prowadzenia działań dezinformacyjnych został poinformowany za sprawą naszej redakcji. Radny wyraził zaniepokojenie wykorzystywaniem jego danych osobowych do celów dezinformacyjnych, w szczególności, w kontekście uwiarygodniania treści poprzez mandat Posła RP a także, że rzekomy mail miał na celu rozpowszechnienie nieprawdziwych informacji przypisanych osobie piastującej stanowisko rektora-komendanta, którego poglądy mogą wywierać wpływ na opinie otoczenia.

Etap V

22 kwietnia: późne popołudnie i wieczór

Na Facebookowym profilu Akademii Sztuki Wojennej pojawia się oświadczenie, w którym uczelnia informuje o ataku. W krótkim komunikacie przekazuje również, że słowa przypisane rektorowi-komendantowi są fałszywe.

Tymczasem w sieci pojawiają się pierwsze wpisy. W postach wrzucane są nie tylko artykuły z Lewy.pl oraz Prawy.pl, ale również treść całego oświadczenia. Niektóre konta wyglądają co najmniej na podejrzane (np. niewielka liczba znajomych). Jednak wrzucenie informacji na grupy dyskusyjne powoduje, że sprawę zaczynają komentować również “prawdziwi” użytkownicy w sieci. Pojawiają się komentarze “Warto przeczytac, Wielki Szacunek dla pana Generala” “Nareszcie jeden odważny !” “Bóg.Honor.Ojczyzna.Brawo.Panie.Generale” (pisownia oryginalna).

Osoby komentujące nie zastanawiają się ani nad autentycznością słów generała ani nie widzą w tego typu wystąpieniu nic niestosownego. “Przecież to prawda. Gdzie tu skandal? Chyba w tym, że właśnie tak jest?”, co więcej przewidują, że za takie słowa “prawdy” generał zostanie zdegradowany i zlinczowany w telewizji “Coś może się z tego wykroi i wyjdzie. Ale jeżeli to nie fake to mu współczuję. Praktycznie ? jest już po nim.” - czytamy w komentarzach. W większości wątków, nie wykształca się żaden przejaw podejrzliwości. Wybrane posty na Facebooku zyskują nawet 400 udostępnień.

W międzyczasie pojawiają się pierwsze informacje o cyberataku na Akademię Sztuki Wojennej w mediach.

Kto sieje chaos, zbiera informacyjne żniwa…

Przeprowadzona przeciwko AszWojowi operacja jest przykładem kolejnych działań tego typu. Ma ona na celu pogorszenie relacji pomiędzy sojusznikami, a przede wszystkim uderzanie w stacjonujące w Polsce wojska NATO. Należy też podkreślić, że to jest kolejny odnotowany w tym roku incydent o podobnym charakterze. Można przypuszczać, że podmiotów stojących za nimi interesuje przede wszystkim testowanie systemu cyberbezpieczeństwa oraz odporności i sposobów reakcji na dezinformację. Po raz kolejny można zastanawiać się, czy aby na pewno kolejny test został zdany na zadowalającą ocenę.

Data przeprowadzenia tej operacji może też nie być przypadkowa. Zbliżają się w wybory prezydenckie, które ze względu na czas pandemii i emocje polityczne z nimi związane już wzbudzają kontrowersje. Dezinformacja, która dotyka coraz szerzej Polskę i państwa bałtyckie, tworzona jest głównie przez podmioty prokremlowskie, które uwielbiają “siać chaos”. Czas wyborów prezydenckich również wydaje się być odpowiednim momentem na potencjalną ingerencję.

Niestety po raz kolejny działania administracji pokazują, że cyberbezpieczeństwo i komunikacja strategiczna wciąż nie jest traktowana w odpowiedni sposób. Od 4 miesięcy nie udało się powołać pełnomocnika rządu ds. cyberbezpieczeństwa, natomiast pełnomocnik ds. Cyberbezpieczeństwa Ministra Obrony Narodowej został odwołany ze stanowiska 4 kwietnia, akurat w momencie pandemii, która poza zagrożeniem dla zdrowia publicznego spowodowała nagły wzrost liczby incydentów komputerów. Brakuje również jednolitej, zorganizowanej struktury zajmującej się komunikacją strategiczną i przeciwdziałaniem dezinformacji - elementy te są obecnie rozproszone po MSZ, MON i MC.

Wreszcie bezkarność napastników przy poprzednich incydentach zachęca ich oraz ich potencjalnych naśladowców do dalszego działania. Sprawca ataku na stronę amerykańskiego West Point w 2018 roku został złapany i skazany. Czy w przypadku ataku na ASzWoj też będzie to miało miejsce?

Niezależnie od tego, czy uda się zidentyfikować podmiot odpowiedzialny za ten atak, należy spodziewać się kolejnych tego typu operacji, które będą prawdopodobnie coraz bardziej zaawansowane oraz będą wykorzystywały nowe metody i techniki.

Andrzej Kozłowski / Sylwia Gliwa