Osoba odpowiedzialna za wywołanie mylnego alarmu w lokalu mieszkalnym powiązanym z rodziną prezesa Karola Nawrockiego mogła uzyskać dostęp do komunikacji prowadzonych przez polskie jednostki podczas ich akcji w Gdańsku. Dziennik „Rzeczpospolita” ustalił ponadto, że sprawca, by ukryć swą tożsamość, posłużył się techniką zwaną routingiem cebulowym.
Czy sprawca fałszywego alarmu w mieszkaniu należącym do rodziny Nawrockiego podsłuchiwał komunikację służb
Izabela Kacprzak, Grażyna Zawadka
Z niniejszego artykułu zaznajomisz się z:
- Rolą, jaką w atakach odegrała technologia szyfrowania określana mianem routera „cebula”.
- Przesłankami wskazującymi na to, że inicjatorzy mogli na bieżąco monitorować i nadzorować interwencję oddziałów ratunkowych.
- Powodem, dla którego seria fałszywych zgłoszeń nosi znamiona rosyjskiej operacji w sferze wojny hybrydowej.
- Metodą, w jaki takie zdarzenia weryfikują odporność państwa i mogą „uśpić” system bezpieczeństwa.
W pierwotnej wersji artykułu użyto niepoprawnego sformułowania „router cebula”. Redakcja skorygowała błąd, precyzyjniej objaśniając, na czym polega tzw. routing cebulowy.
Reklama Reklama
Zamieszanie, wzrost napięcia, zmniejszenie uwagi służb na następny, już nieudany, alarm? Działania polegające na fałszywych doniesieniach o pożarach, próbach targnięcia się na życie, zagrożeniu zdrowia mieszkańców przybierają na sile. Po sobotnim nieprawdziwym alarmie w lokalu matki prezesa Karola Nawrockiego formacje siłowe wyłamały drzwi i weszły do środka. W pierwszej kolejności było zgłoszenie o pożarze, a później o niebezpieczeństwie utraty życia dziecka. Nie stwierdzono pożaru, w mieszkaniu znajdowały się jedynie zwierzęta. Dzień wcześniej analogiczne doniesienie odnosiło się do adresu Sławomira Cenckiewicza, byłego szefa Biura Bezpieczeństwa Narodowego przy prezydencie. Odmienność polega na tym, że w przypadku profesora Cenckiewicza sprawcy posłużyli się pocztą elektroniczną, natomiast w przypadku lokalu prezesa telefonem komórkowym. Prowokatorzy posiadali znakomite rozeznanie – uderzyli, kiedy w obu lokalach nie było żadnego z mieszkańców.
Osoba odpowiedzialna użyła aplikacji Alarm 112, przesyłając wiadomość SMS z numeru telefonu, który został już zidentyfikowany przez służby. – Wiemy, na kogo jest on zarejestrowany. Ustalamy, gdzie ta osoba się znajduje i jaki ma związek z tym zajściem – oznajmia „Rzeczpospolitej” prok. Mariusz Duszyński, rzecznik prasowy gdańskiej prokuratury, która w poniedziałek wszczęła dochodzenie w tej sprawie.
„Jestem na Wiktorskiej …popełniam samobójstwo, mam na sobie pas szahida, wy…ę wszystko” – taka wiadomość e-mail, zgodnie z informacjami „Rzeczpospolitej”, uru…
Zgodnie z naszymi niepotwierdzonymi informacjami, służby przypuszczają, że nieprawdziwe zgłoszenia dotyczące mieszkania rodziny prezesa zostały wysłane dla zatarcia śladów z wykorzystaniem tzw. sieci tor, czyli routingu cebulowego. Technika ta służy do anonimowej wymiany informacji w sieci.
Routing cebulowy zaciera wskazówki prowadzące do przestępców
Termin „cebula” odnosi się do faktu, że może on posiadać kilkadziesiąt, a być może i więcej warstw zabezpieczających maskowanie tzw. numeru IP. – Nie da się ustalić posiadacza tego urządzenia. Jest to analogiczne do cebuli, gdzie pod jedną warstwą znajduje się następna i następna – tłumaczy nasz informator ze służb. Śledczy przypuszczają, że za pomocą tej techniki wysłano SMS z fałszywym zgłoszeniem.
Ten rodzaj ukrywania uniemożliwia lub utrudnia określenie, z jakiego IP, czyli z którego komputera lub telefonu, wysłano wiadomość lub nawiązano połączenie. Co więcej – także z jakiej lokalizacji w kraju lub na świecie przesłano SMS. Może to zakończyć się tak samo jak w przypadku wcześniejszych doniesień dotyczących dziennikarzy Telewizji Republika – jednostki mogą być na śladzie osoby, której numer telefonu skradziono. W przypadku fałszywego zgłoszenia w domu Tomasza Sakiewicza taką osobę nawet zatrzymano, ale następnego dnia wypuszczono.
Pozyskaliśmy dowody, że ataki w cyberprzestrzeni przeprowadzane były z Mińska – twierdzą autorzy raportu firmy Mandiant, która od czterech lat bada działania cybers…
W sprawę włączeni są funkcjonariusze z Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Agencji Bezpieczeństwa Wewnętrznego (ABW), a także osoby z wojska. Fałszywe doniesienia zostały zakwalifikowane jako sabotaż w sieci. Z naszych informacji wynika, że ustalenia służb wskazują, iż przy pierwszych „fałszywkach” dotyczących pożarów lub rzekomego zagrożenia życia sprawcy mieli korzystać z serwerów w krajach skandynawskich, a przy kolejnych – miały to być serwery w Rosji.
Sprawcy fałszywych alarmów podsłuchują polskie formacje?
W odniesieniu do lokalu w Gdańsku, należącego do rodziny Karola Nawrockiego, pewne fakty odbiegają od pierwotnego schematu wcześniejszych ataków. Po pierwsze, prowokatorzy nie tylko znali adres tego mieszkania (wprawdzie znajduje się on w oświadczeniu majątkowym prezesa, lecz jest tam ukryty), ale wręcz wiedzieli, że nie jest on chroniony przez SOP. Po drugie – co już jest mocno zatrważające – ich poczynania wskazywały na to, jakby na bieżąco kontrolowali akcję jednostek i reagowali na nią. Gdy pierwszy SMS nie przyniósł efektu, po kwadransie wysłali następny do Wojewódzkiego Centrum Powiadamiania Ratunkowego. Tym razem nie o pożarze, a o dziecku, które nie przejawia oznak życia.
To właśnie druga wiadomość SMS spowodowała, że służby nie odstąpiły od interwencji po wstępnych oględzinach, lecz postanowiły wyłamać drzwi do mieszkania. Wygląda na to, jakby inicjatorzy mieli dostęp do komunikacji pomiędzy jednostkami. Ewentualnie ktoś z nich przebywał w okolicy i obserwował działania strażaków i policjantów z zewnątrz. Dlatego właśnie, według ustaleń „Rzeczpospolitej”, funkcjonariusze zabezpieczyli monitoring z sąsiedztwa – z ulic i budynków.
Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina byłego szefa CBA – Pawła Wojtunika oraz posła PO –…
Sprawozdanie z akcji zaprezentował w TVN24 Marcin Kierwiński, szef MSWiA: – Straż dociera jako pierwsza na miejsce zdarzenia. Dostrzega, że nie ma dymu. Spogląda z zewnątrz do tego lokalu – mówił. – W tym samym czasie nadchodzi drugie doniesienie, mówiące o tym, że znajduje się tam osoba, która straciła funkcje życiowe – dodawał. – Wtedy dowódca operacji, ze względu na niebezpieczeństwo utraty życia, postanawia otworzyć to mieszkanie – wyjaśniał minister Kierwiński.
W przypadku Telewizji Republika również były podwójne zgłoszenia
Służby w Polsce porozumiewają się na częstotliwościach radiowych w większości otwartych i niezaszyfrowanych – ich przechwycenie jest stosunkowo proste i niedrogie. Wykorzystuje się do tego tzw. skanery radiowe do odbioru sygnału, które można nabyć za niewielkie pieniądze. Wyłącznie w sytuacjach, gdy chodzi o dane poufne lub wrażliwe, policja przełącza się na kanał zaszyfrowany, kodowany.
Na razie polskie jednostki nie potwierdzają, że mamy do czynienia z tym samym sprawcą i rosyjskim śladem. Jednak sprawa jest dynamiczna i nic nie jest jeszcze pewne
Jak to wyglądało w tym przypadku? „Na terenie Gdańska policjanci korzystają z nowoczesnych systemów cyfrowej łączności radiowej” – odparła nam podinsp. Magdalena Ciska, rzeczniczka Komendanta Wojewódzkiego Policji w Gdańsku.
– W przypadku zgłoszeń do domów naszych reporterów także mieliśmy ponowne zgłoszenia następnego dnia. Tak było u Michała Rachonia i u mnie. Służby zjawiły się, chociaż dzień wcześniej fałszywy alarm nie został potwierdzony – mówi „Rzeczpospolitej” Tomasz Sakiewicz, redaktor Telewizji Republika. Sprawą zajmują się funkcjonariusze z CBZC oraz stołeczna policja. Zabezpieczono materiał dowodowy, analizowane są dane teleinformatyczne i telekomunikacyjne.
Czy analizowany jest wątek rosyjski? – Aktualnie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i śladem rosyjskim. Niemniej sprawa jest w toku i nic nie zostało jeszcze ostatecznie ustalone – mówi nam nasze źródło w Kancelarii Prezesa Rady Ministrów.
Ekspert: Fałszywe alarmy w Polsce przypominają model wojny hybrydowej
– Nieprawdziwy alarm o pożarze w domu rodziców prezesa, analogicznie jak wcześniejsze interwencje wobec środowiska TV Republika, wpisuje się w mechanizm tzw. active measures – działań destabilizujących, opisanych w rosyjskiej doktrynie oddziaływania. Ich zamiarem nie jest wyłącznie wywołanie pojedynczego incydentu, ale generowanie chaosu informacyjnego, wzrost napięcia emocji politycznych oraz pogłębianie rozbieżności w społeczeństwie – stwierdza Tomasz Safjański, profesor Akademii WSB w Dąbrowie Górniczej, wicedyrektor Centrum Badań nad Bezpieczeństwem Transgranicznym. Specjalista uważa, że dobór celów nie jest przypadkowy: z jednej strony media i osoby związane z konkretnym środowiskiem politycznym, z drugiej otoczenie głowy państwa. Tego rodzaju działania mają doprowadzić do konfliktu społecznego, podważyć zaufanie do instytucji państwa i sprowokować reakcje służb, które następnie stają się częścią wojny informacyjnej i medialnej.
– To typowy mechanizm wojny hybrydowej: użycie procedur demokratycznego państwa przeciwko niemu samemu, przeciążanie służb, generowanie zamieszania i wzmacnianie podziałów społecznych. Zamiarem nie jest fizyczne zniszczenie infrastruktury, ale osłabienie spójności społecznej, destabilizacja debaty publicznej i zanik wiary obywateli w państwo – wskazuje prof. Safjański. Nie wyklucza, że „za tym mogą stać rosyjskie grupy hakerskie. W ostatnich latach służby państw UE wielokrotnie wskazywały na udział rosyjskich grup hakerskich, takich jak Fancy Bear czy Cozy Bear, w operacjach wpływu”.
Jeśli społeczeństwo zacznie dostrzegać chaos, niespójność decyzji i nieadekwatne reakcje służb, przeciwnik osiągnie swój strategiczny cel bez jednego strzału. Państwo sparaliżowane informacyjnie staje się wrażliwe na manipulację, polaryzację i destabilizację od wewnątrz
Oprócz standardowych ataków w cyberprzestrzeni, grupy te brały udział także w działaniach dezinformacyjnych, operacjach psychologicznych oraz akcjach destabilizujących, wymierzonych w państwa NATO i UE. Cechą charakterystyczną rosyjskiego modelu działań jest łączenie cyberataków, prowokacji informacyjnych oraz operacji wpływu pod fałszywą flagą w jedną, spójną kampanię oddziaływania na społeczeństwo.
Fałszywe alarmy w Polsce mogą być tzw. operacją pod obcą banderą
Operacje pod obcą banderą to najbardziej zaawansowana technika dezinformacji i ukrywania. Rosyjscy hakerzy celowo zostawiają ślady, mające skierować podejrzenia na zupełnie inny kraj, osoby lub organizacje. W 2015 r. grupa podająca się za powiązaną z ISIS zaatakowała francuską stację telewizyjną TV5 Monde oraz groziła żonom amerykańskich żołnierzy. Dochodzenie ujawniło, że grupa CyberCaliphate, stojąca za tymi atakami, to w rzeczywistości rosyjska Fancy Bear, która zamierzała wywołać panikę związaną z terroryzmem islamskim na Zachodzie.
Czy fala fałszywych zgłoszeń wymierzonych w prawicowe środowiska w Polsce pasuje do tego schematu? – Do typowych cech modus operandi takich środowisk należą: korzystanie z zagranicznych serwerów VPS i infrastruktury pośredniczącej w celu utrudnienia identyfikacji sprawców, posługiwanie się telefonią internetową, spoofingiem numerów oraz usługami anonimizującymi, przeprowadzanie działań seryjnych wobec celów o wysokim znaczeniu medialnym, wywoływanie silnego efektu emocjonalnego i politycznego przy minimalnych kosztach operacyjnych, prowokowanie reakcji służb i instytucji państwowych w celu późniejszego wykorzystania medialnego oraz nasilenie polaryzacji społecznej poprzez wzmacnianie konfliktów politycznych i informacyjnych – wymienia prof. Safjański.
Wszystkie te cechy możemy zaobserwować obecnie w Polsce. – To, mimo że ma wyglądać na działania przypadkowego „żartownisia”, w rzeczywistości nim nie jest. Tego rodzaju operacje wymagają zaplecza technicznego, infrastruktury, koordynacji i świadomości konsekwencji. Sprawcy zdają sobie sprawę, że wchodzą w konfrontację nie z pojedynczą służbą, lecz z całym państwem i jego systemem bezpieczeństwa. Z tego powodu nie wolno lekceważyć tego rodzaju działań – ich celem jest sprawdzenie odporności państwa, wywołanie chaosu i podważenie zaufania obywateli do instytucji publicznych – podkreśla ekspert. Dodaje także, że logika obecnej wojny hybrydowej wyraźnie wskazuje: kolejny alarm wcale nie musi być nieprawdziwy. Na tym właśnie polega mechanizm tego typu operacji – osłabianie czujności państwa i społeczeństwa poprzez ciąg prowokacji, fałszywych sygnałów i zamieszania informacyjnego. Dlatego kluczowe jest dzisiaj zachowanie pełnej uwagi i poważne traktowanie każdego sygnału.
Rosja na naszym przykładzie dostrzegła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Zadaję sobie pytanie: co będzie dalej, do czego się posunie?
Tomasz Sakiewicz, który jeszcze w poprzednim tygodniu kwestionował, że za atakiem mogą stać rosyjskie służby, obecnie – w kontekście uderzenia w rodzinę prezesa – jest przekonany, że tak jest. – Uważam, że Rosja wykorzystała atak na nas i przejęła ten model do uderzenia w państwo, w głowę państwa. Proszę zauważyć, że stało się to krótko po tym, jak Donald Trump ogłosił ulokowanie amerykańskiego wojska w Polsce, co niewątpliwie osłabia geopolitycznie Rosję. Rosja na naszym przykładzie dostrzegła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Zadaję sobie pytanie: co będzie dalej, do czego się posunie? – ocenia Sakiewicz.
Prof. Safjański: – Rzecz jasna, na obecnym etapie nie można publicznie i jednoznacznie przypisać sprawstwa Federacji Rosyjskiej bez przedstawienia wiarygodnych dowodów operacyjnych i technicznych. Natomiast z punktu widzenia metod działania, logiki operacyjnej oraz strategicznych interesów Kremla, hipoteza o rosyjskiej inspiracji lub wykorzystaniu tego incydentu w ramach działań hybrydowych jest bardzo prawdopodobna i powinna być traktowana przez państwo bardzo poważnie.
Jakie będą następstwa fałszywych alarmów?
Eksperci przestrzegają, że jeśli państwo nie wypracuje odporności na chaos informacyjny i ciągłe fałszywe alarmy, następstwa mogą być bardzo poważne. – Z czasem służby zaczną działać w permanentnym stanie przeciążenia, funkcjonariusze będą reagować rutynowo, a decydenci stracą zdolność odróżniania prowokacji od prawdziwego zagrożenia. W takim systemie realny atak terrorystyczny, sabotażowy lub w cyberprzestrzeni może zostać zlekceważony właśnie dlatego, że wcześniej system został „uśpiony” nadmiarem fałszywych sygnałów – ostrzega Tomasz Safjański.
Rząd musi zrobić wszystko, by jak najszybciej wskazać winnych serii fałszywych alarmów, które dotarły już nawet do rodziny prezydenta Karola Nawroc…
Z tego względu służby muszą reagować szybko na tego rodzaju zgłoszenia, ale z ostrożnością, dobrym rozpoznaniem oraz podejmować adekwatne działania do skali zagrożenia. W Gdańsku interweniujący funkcjonariusze nie wiedzieli, że interwencja dotyczy mieszkania matki prezesa, chociaż policja ma dostęp do baz adresowych, więc ustalenie właściciela nie powinno stanowić problemu. Od razu zastosowano rozwiązanie siłowe. Tymczasem, jak podkreśla prof. Safjański, w przypadku doniesień o niepewnym charakterze, kluczowe powinno być jednoczesne prowadzenie akcji ratunkowych i analitycznej weryfikacji wiarygodności informacji. – Zwłaszcza w przypadku miejsca o szczególnym znaczeniu publicznym. Naturalnym elementem procedury powinna być szybka identyfikacja właściciela lokalu, analiza wcześniejszych incydentów, ocena ryzyka prowokacji oraz wykorzystanie wszystkich dostępnych źródeł informacji jeszcze przed eskalacją działań siłowych – wymienia.
Najbardziej niebezpieczna jest jednak stopniowa utrata zaufania obywateli do państwa. – Jeśli społeczeństwo zacznie widzieć chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiągnie swój strategiczny cel bez jednego wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od wewnątrz – zaznacza były policjant.