Sprawca mylnego zawiadomienia w lokalu krewnych głowy państwa, celem utajnienia personalia, posłużył się tzw. routerem cebulowym – orzekła „Rzeczpospolita”. Dodatkowo wydaje się, że miał wgląd do komunikacji między polskimi formacjami lub był nieustannie w pobliżu i uważnie obserwował działania strażaków.
Karol Nawrocki
Izabela Kacprzak, Grażyna Zawadka
Z tego artykułu dowiesz się:
- Jaką funkcję w atakach pełniła technologia kodowania znana jako router „cebula”.
- Co sugeruje, że wichrzyciele mogli na bieżąco śledzić i kierować akcją oddziałów ratunkowych.
- Z jakiego powodu ciąg fałszywych doniesień wykazuje elementy rosyjskiej operacji z obszaru wojny hybrydowej.
- W jaki sposób tego typu zdarzenia sprawdzają odporność kraju i mogą „uśpić” system bezpieczeństwa.
Zamieszanie, wzmaganie emocji, zmniejszenie czujności służb na kolejne, już prawdziwe, wezwanie? Akcja nieprawdziwych zgłoszeń o incydentach pożarowych, próbach odebrania sobie życia, ryzyku dla życia mieszkańców nasila się. Po sobotnim fałszywym alarmie w lokalu matki prezydenta Karola Nawrockiego służby sforsowały drzwi i weszły do wnętrza. Wpierw było zgłoszenie o płomieniach, a potem o zagrożeniu życia niemowlęcia. Ognia nie było, w mieszkaniu przebywały jedynie zwierzęta. Dzień wcześniej analogiczne zawiadomienie dotyczyło adresu Sławomira Cenckiewicza, dawnego szefa prezydenckiego Biura Bezpieczeństwa Narodowego. Odmienność jest taka, że sprawcy w przypadku prof. Cenckiewicza wykorzystali pocztę elektroniczną, a w przypadku lokalu prezydenta aparat telefoniczny. Prowokatorzy mieli doskonałą orientację – zaatakowali, gdy w obu mieszkaniach nie było żadnego z domowników.
Reklama Reklama
Sprawca wykorzystał aplikację Alarm 112, przesyłając wiadomość SMS z numeru telefonu, który jest już ustalony przez formacje. – Wiemy, na kogo jest zarejestrowany. Weryfikujemy, gdzie przebywa ta osoba i co ma wspólnego z tym zajściem – przekazuje „Rzeczpospolitej” prok. Mariusz Duszyński, rzecznik prokuratury gdańskiej, która w poniedziałek rozpoczęła dochodzenie w tej materii.
„Jestem na Wiktorskiej …popełniam samobójstwo, mam na sobie pas szahida, wysadzę wszystko” – taki mail, zgodnie z informacjami „Rzeczpospolitej”, aktywował…
Zgodnie z naszymi poufnymi danymi, służby podejrzewają, że nieprawdziwe zgłoszenia dotyczące lokalu krewnych prezydenta zostały dla zamaskowania wysłane z zastosowaniem tzw. routera cebula (z ang. onion routing, innymi słowy trasowanie cebulowe). Technika ta służy do anonimowej komunikacji w sieci.
Router cebula zaciera tropy wiodące do przestępców
Hakerzy wykorzystują do tego zwykłe routery, które po właściwym przeprogramowaniu, skonfigurowaniu, ukrywają tożsamość sprawcy. Instrukcje, jak to uczynić, można odszukać w sieci na forach dla wprowadzonych w temat. Określenie „cebula” odnosi się do tego, że może posiadać kilkadziesiąt, a możliwe, że i więcej warstw ochrony maskowania tzw. numeru IP. – Nie można zidentyfikować właściciela tego sprzętu. To tak, jak w przypadku cebuli, kiedy pod jedną warstwą znajduje się następna i następna – wyjaśnia nasz informator ze służb. Śledczy domniemają, że wykorzystując właśnie taki router, przesłano SMS z mylnym zawiadomieniem.
Ten rodzaj kamuflażu utrudnia, a niekiedy wręcz uniemożliwia ustalenie, z jakiego IP, czyli z jakiego komputera czy z jakiego aparatu przesłano wiadomość lub wykonano połączenie. Co więcej – także z jakiego miejsca państwa czy świata wysłano SMS. Może się to skończyć identycznie jak w przypadku wcześniejszych doniesień dotyczących dziennikarzy Telewizji Republika – formacje mogą ścigać nie prawdziwego sprawcę, a jedynie osobę, pod której numer telefonu się podszyto. W kwestii mylnego zawiadomienia w lokalu Tomasza Sakiewicza taką osobę nawet zatrzymano, ale następnego dnia wypuszczono.
Zdobyliśmy dowody, że cyberataki realizowane były z Mińska – twierdzą autorzy raportu firmy Mandiant, która od czterech lat śledzi działania cybers…
W sprawę zaangażowani są policjanci z Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Agencji Bezpieczeństwa Wewnętrznego (ABW), ale także żołnierze. Fałszywe zgłoszenia zostały uznane za sabotaż internetowy. Według naszych danych, ustalenia służb ukazują, że przy pierwszych „fałszywkach” o pożarach czy rzekomym ryzyku dla życia, sprawcy mieli korzystać z serwerów w krajach skandynawskich, przy kolejnych – miały to być serwery w Rosji.
W przypadku mieszkania w Gdańsku, przynależnego do rodziny Karola Nawrockiego, kilka elementów odbiega od pierwotnego schematu wcześniejszych ataków. Przede wszystkim, prowokatorzy nie tylko znali adres tego lokalu (w istocie widnieje on w oświadczeniu majątkowym prezydenta, jednak jest tam zanonimizowany), lecz nawet orientowali się, że jest on wyłączony spod protekcji SOP. Po drugie – i to jest nader niepokojące – ich działania sprawiały wrażenie, jakby na bieżąco monitorowali akcję służb i odpowiadali na ich działania. Gdy pierwszy SMS nie odniósł rezultatu, po kwadransie wysłali kolejnego do Wojewódzkiego Centrum Powiadamiania Ratunkowego. Tym razem nie o pożarze, ale o niemowlęciu, które nie wykazuje oznak życiowych.
To właśnie drugi SMS sprawił, że służby nie zrezygnowały z akcji po wstępnych oględzinach, lecz zdecydowały się sforsować wejście do mieszkania. Wygląda na to, jakby inicjatorzy działań posiadali wgląd do komunikacji między służbami. Ewentualnie ktoś z nich był w rejonie, gdzie wszystko się działo i obserwował z zewnątrz poczynania strażaków i policjantów. Stąd właśnie, zgodnie z ustaleniami „Rzeczpospolitej”, policjanci zabezpieczyli nagrania z kamer z okolicy – z ulic i budynków.
Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina byłego szefa CBA – Pawła Wojtunika oraz posła PO –…
Relację z akcji przedstawił w TVN24 Marcin Kierwiński, szef MSWiA: – Straż dociera jako pierwsza na miejsce incydentu. Dostrzega, że nie ma dymu. Spogląda z zewnątrz do tego mieszkania – mówił. – Jednocześnie nadchodzi kolejne doniesienie, które mówi o tym, że jest tam osoba, która utraciła funkcje życiowe – dodawał. – Wtedy dowódca operacji podejmuje decyzję w związku z ryzykiem utraty życia, aby otworzyć to mieszkanie – objaśniał minister Kierwiński.
W przypadku Telewizji Republika także miały miejsce podwójne zgłoszenia
Służby w Polsce komunikują się na częstotliwościach radiowych w znacznej części otwartych i nieszyfrowanych – ich przechwycenie jest dosyć proste i tanie. Do tego służą tzw. skanery radiowe do odbierania sygnału, które można nabyć za niewielkie pieniądze. Tylko w sytuacjach, gdy chodzi o dane utajnione lub poufne, policja zmienia kanał na szyfrowany, kodowany.
Na razie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i tropem rosyjskim. Sprawa jest jednak dynamiczna i nic nie jest przesądzone
Jak było w tym przypadku? „Na obszarze Gdańska policjanci wykorzystują nowoczesne systemy cyfrowej łączności radiowej” – odpowiedziała nam podinsp. Magdalena Ciska, rzeczniczka Komendanta Wojewódzkiego Policji w Gdańsku.
– W przypadku zgłoszeń do domów naszych reporterów również mieliśmy powtórne zgłoszenia nazajutrz. Tak było u Michała Rachonia i u mnie. Służby nadjechały, mimo że dzień wcześniej fałszywy alarm się nie potwierdził – mówi „Rzeczpospolitej” Tomasz Sakiewicz, redaktor Telewizji Republika. Sprawę analizują policjanci z CBZC oraz stołeczna policja. Zabezpieczono materiał dowodowy, analizowane są dane teleinformatyczne i telekomunikacyjne.
Czy analizowany jest wątek rosyjski? – Na razie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i tropem rosyjskim. Sprawa jest jednak dynamiczna i nic nie jest przesądzone – przekazuje nam nasze źródło w Kancelarii Prezesa Rady Ministrów.
Ekspert: Fałszywe alarmy w Polsce wyglądają jak model wojny hybrydowej
– Fałszywy alarm tyczący się pożaru w lokalu rodziców prezydenta, analogicznie jak wcześniejsze interwencje wobec środowiska TV Republika, wpisuje się w mechanizm tzw. active measures – działań destabilizacyjnych opisanych w rosyjskiej doktrynie operacji wpływu. Ich zamiarem nie jest jedynie wywołanie pojedynczego zdarzenia, lecz wytwarzanie chaosu informacyjnego, intensyfikacja emocji politycznych oraz pogłębianie polaryzacji społecznej – orzeka Tomasz Safjański, profesor Akademii WSB w Dąbrowie Górniczej, wicedyrektor Centrum Badań nad Bezpieczeństwem Transgranicznym. Specjalista sądzi, że dobór celów nie wydaje się przypadkowy: z jednej strony media i osoby utożsamiane z określonym środowiskiem politycznym, z drugiej strony otoczenie głowy państwa. Tego rodzaju działania mają na celu wywołać konflikt społeczny, podważać zaufanie do instytucji państwa i prowokować reakcje służb, które następnie stają się składową wojny informacyjnej i medialnej.
– To standardowy mechanizm wojny hybrydowej: wykorzystać procedury demokratycznego państwa przeciwko samemu państwu, obciążać służby, powodować chaos i wzmacniać społeczne podziały. Zamiarem nie jest fizyczne zniszczenie infrastruktury, lecz osłabienie spójności społecznej, destabilizacja debaty publicznej i erozja zaufania obywateli do państwa – wskazuje prof. Safjański. Nie wyklucza, że „za tym mogą tkwić rosyjskie grupy hakerskie. W ostatnich latach formacje państw UE wielokrotnie wskazywały na udział w operacjach wpływu rosyjskich grup hakerskich takich jak Fancy Bear czy Cozy Bear”.
Jeśli społeczeństwo zacznie widzieć chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez jednego wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od środka
Oprócz typowych cyberataków grupy te brały także udział w działaniach dezinformacyjnych, operacjach psychologicznych oraz akcjach destabilizacyjnych wymierzonych w państwa NATO i UE. Charakterystyczne dla rosyjskiego modelu działań jest łączenie cyberataków, prowokacji informacyjnych oraz operacji wpływu pod fałszywą flagą w jedną spójną kampanię oddziaływania społecznego.
Fałszywe alarmy w Polsce mogą być tzw. operacją pod fałszywą flagą
Operacje pod fałszywą flagą to najbardziej zaawansowana technika dezinformacji i maskowania. Hakerzy rosyjscy celowo pozostawiają ślady, które mają pokierować podejrzenia na zupełnie inne państwo, osoby lub organizację. W 2015 r. grupa podająca się za związaną z ISIS zaatakowała francuską stację telewizyjną TV5 Monde oraz groziła żonom amerykańskich żołnierzy. Dochodzenie wykazało, że stojąca za tymi atakami grupa CyberCaliphate to w rzeczywistości rosyjska Fancy Bear, która zamierzała wywołać panikę przed terroryzmem islamskim na Zachodzie.
Czy fala fałszywych zgłoszeń uderzających w prawicowe środowiska w Polsce wpisuje się w schemat? – Typowe właściwości modus operandi takich środowisk obejmują: wykorzystywanie zagranicznych serwerów VPS i infrastruktury pośredniczącej do utrudnienia identyfikacji sprawców, używanie telefonii internetowej, spoofingu numerów oraz usług anonimizujących, realizowanie działań seryjnych wobec celów o wysokim znaczeniu medialnym, wywoływanie silnego efektu emocjonalnego i politycznego przy minimalnych kosztach operacyjnych, prowokowanie reakcji służb i instytucji państwowych w celu późniejszego wykorzystania medialnego oraz eskalowanie polaryzacji społecznej poprzez wzmacnianie konfliktów politycznych i informacyjnych – wylicza prof. Safjański.
Te wszystkie właściwości obserwujemy aktualnie w Polsce. – To, choć ma przypominać działania przypadkowego „żartownisia”, takim działaniem nie jest. Tego rodzaju operacje wymagają zaplecza technicznego, infrastruktury, koordynacji i świadomości konsekwencji. Sprawcy wiedzą, że podejmują konfrontację nie z pojedynczą formacją, lecz z całym państwem i jego systemem bezpieczeństwa. Właśnie z tego powodu takich działań nie wolno lekceważyć – ich celem jest testowanie odporności państwa, wywoływanie chaosu i podważanie zaufania obywateli do instytucji publicznych – akcentuje ekspert. I podkreśla, że logika współczesnej wojny hybrydowej uwidacznia jednoznacznie: kolejne wezwanie wcale nie musi być mylne. Na tym właśnie polega mechanizm tego typu operacji – osłabianie czujności państwa i społeczeństwa poprzez ciąg prowokacji, fałszywych sygnałów i chaosu informacyjnego. Dlatego najistotniejsze jest dziś zachowanie pełnej gotowości i traktowanie każdego sygnału poważnie.
Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Moje pytanie brzmi: co będzie dalej, do czego się posunie?
Tomasz Sakiewicz, który jeszcze w poprzednim tygodniu kwestionował, że za atakiem mogą stać rosyjskie służby, obecnie – w kontekście uderzenia w rodzinę prezydenta – jest przekonany, że tak właśnie jest. – Uważam, że Rosja skorzystała z ataku na nas i przejęła ten model do uderzenia w państwo, w głowę państwa. Proszę zwrócić uwagę, że nastąpiło to chwilę po tym, jak Donald Trump obwieścił zainstalowanie amerykańskiego wojska w Polsce, co Rosji niewątpliwie odbiera siłę geopolityczną. Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i wykorzystała to. Moje pytanie brzmi: co będzie dalej, do czego się posunie? – ocenia Sakiewicz.
Prof. Safjański: – Naturalnie, na obecnym etapie nie można publicznie i jednoznacznie przypisać sprawstwa Federacji Rosyjskiej bez okazania jednoznacznych dowodów operacyjnych i technicznych. Natomiast z perspektywy metod działania, logiki operacyjnej oraz strategicznych interesów Kremla hipoteza o rosyjskiej inspiracji lub wykorzystaniu tego incydentu w ramach działań hybrydowych jest wysoce prawdopodobna i powinna być traktowana przez państwo bardzo poważnie.
Jakie będą konsekwencje fałszywych alarmów?
Eksperci przestrzegają, że jeżeli państwo nie zbuduje odporności na chaos informacyjny i seryjne fałszywe alarmy, konsekwencje mogą być nader poważne. – Z czasem służby zaczną funkcjonować w permanentnym przeciążeniu, funkcjonariusze będą reagować odruchowo, a decydenci stracą zdolność odróżniania prowokacji od realnego ryzyka. W takim systemie prawdziwy atak terrorystyczny, sabotażowy czy cybernetyczny może zostać pominięty właśnie dlatego, że wcześniej system został „uśpiony” nadmiarem fałszywych sygnałów – uprzedza Tomasz Safjański.
Rząd musi zrobić wszystko, by jak najszybciej wskazać winnych serii fałszywych alarmów, które dotarły już nawet do rodziny prezydenta Karola Nawroc…
Dlatego na tego typu doniesienia służby muszą odpowiadać bezzwłocznie, lecz z ostrożnością, dobrą orientacją oraz podejmować czynności dostosowane do wymiaru zagrożenia. W Gdańsku interweniujący funkcjonariusze nie wiedzieli, że interwencja dotyczy lokalu matki prezydenta, chociaż policja posiada dostęp do baz adresowych, więc ustalenie posiadacza nie powinno stanowić kłopotu. Zastosowano od razu rozwiązanie siłowe. Tymczasem, jak uwidacznia prof. Safjański, w przypadku zgłoszeń o niepewnym charakterze kluczowe powinno być równoczesne prowadzenie działań ratunkowych i analitycznej weryfikacji wiarygodności danych. – Zwłaszcza, gdy chodzi o miejsce o szczególnym znaczeniu publicznym. Naturalnym elementem procedury powinna być szybka identyfikacja właściciela lokalu, analiza wcześniejszych incydentów, ocena prawdopodobieństwa prowokacji oraz wykorzystanie wszystkich dostępnych źródeł informacji jeszcze przed eskalacją działań siłowych – wylicza.
Najgroźniejsza jest jednak stopniowa utrata wiary obywateli w państwo. – Jeśli społeczeństwo zacznie dostrzegać chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez jednego wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od wewnątrz – zaznacza były policjant.