Sprawca mylnego powiadomienia w lokalu rodziny prezydenta znał adres, który nie podlega ochronie SOP. Co więcej, mógł na bieżąco obserwować interwencję służb, które sforsowały wejście do apartamentu – tak wynika z doniesień „Rzeczpospolitej”.
Autor fałszywego alarmu w mieszkaniu matki prezydenta Karola Nawrockiego posłużył się aplikacją Alarm 112, przesyłając SMS z numeru telefonu, którego właściciela służby już zidentyfikowały.
Izabela Kacprzak, Grażyna Zawadka
W pierwszej wersji artykułu użyto niepoprawnego sformułowania „router cebula”. Redakcja skorygowała błąd, precyzyjniej objaśniając, czym jest tzw. routing cebulowy.
Reklama Reklama
Zamieszanie, wzrost napięcia, obniżenie ostrożności organów ścigania przy następnym, już realnym zgłoszeniu? Fala nieprawdziwych doniesień o pożarach, próbach odebrania sobie życia, niebezpieczeństwie dla mieszkańców wzrasta. Po sobotnim fałszywym alarmie w lokalu matki prezydenta Karola Nawrockiego funkcjonariusze wyłamali drzwi i dostali się do środka. Początkowo wpłynęło zgłoszenie o pożarze, a następnie o zagrożeniu dla życia dziecka. Pożaru nie stwierdzono, w lokalu znajdowały się tylko zwierzęta. Dzień wcześniej zbliżone zgłoszenie dotyczyło adresu Sławomira Cenckiewicza, byłego szefa prezydenckiego Biura Bezpieczeństwa Narodowego. Odmienność polega na tym, że sprawcy w przypadku prof. Cenckiewicza wykorzystali pocztę elektroniczną, a w przypadku mieszkania prezydenta telefon komórkowy. Prowokatorzy posiadali dokładne rozeznanie – zaatakowali, gdy w obu mieszkaniach nie było nikogo z bliskich.
Prokuratura Okręgowa Warszawa-Praga przesłała do sądu dwa wnioski o zastosowanie aresztu w dochodzeniu dotyczącym fałszywych alarmów – podały repor…
Sprawca wykorzystał aplikację Alarm 112, wysyłając wiadomość SMS z numeru telefonu, którego właściciela służby już ustaliły. – Wiemy, kto jest jego abonentem. Sprawdzamy, gdzie przebywa ta osoba i jaki ma związek z tym wydarzeniem – przekazuje „Rzeczpospolitej” prok. Mariusz Duszyński, rzecznik prokuratury z Gdańska, która w poniedziałek wszczęła postępowanie w tej sprawie.
Z naszych nieoficjalnych źródeł wynika, że służby podejrzewają, iż mylne doniesienia dotyczące mieszkania rodziny prezydenta zostały dla zatarcia śladów wysłane z użyciem tzw. sieci tor, czyli routingu cebulowego (z ang. onion routing). Ta technika służy do anonimowej komunikacji w sieci.
Routing cebulowy maskuje poszlaki prowadzące do przestępców
Określenie „cebula” odnosi się do faktu, że może zawierać kilkadziesiąt, a nawet więcej warstw zabezpieczenia ukrywających tzw. adres IP. – Nie jest możliwe zidentyfikowanie właściciela tego urządzenia. To jak z cebulą, gdzie pod jedną warstwą jest następna i następna – wyjaśnia nasz informator ze służb. Śledczy przypuszczają, że posługując się właśnie tą techniką, wysłano SMS z fałszywym powiadomieniem.
Tego rodzaju maskowanie utrudnia, a czasem wręcz uniemożliwia ustalenie, z jakiego adresu IP, czyli z którego komputera lub telefonu wysłano wiadomość lub wykonano połączenie. Co więcej – także z jakiego obszaru kraju lub świata wysłano SMS. Może to skończyć się podobnie, jak w przypadku wcześniejszych doniesień dotyczących dziennikarzy Telewizji Republika – organy ścigania mogą być na tropie nie faktycznego sprawcy, a jedynie osoby, której numer telefonu skradziono. W sprawie mylnego zgłoszenia w domu Tomasza Sakiewicza taką osobę nawet zatrzymano, ale kolejnego dnia ją wypuszczono.
„Jestem na Wiktorskiej …popełniam samobójstwo, mam na sobie pas szahida, wysa…ę wszystko” – taki mail, według informacji „Rzeczpospolitej”, urucho…
W sprawę zaangażowani są funkcjonariusze z Centralnego Biura Zwalczania Cyberprzestępczości (CBZC), Agencji Bezpieczeństwa Wewnętrznego (ABW), a także żołnierze. Fałszywe doniesienia zostały sklasyfikowane jako sabotaż internetowy. Z naszych informacji wynika, że ustalenia służb wskazują, iż przy pierwszych „fałszywkach” o pożarach lub rzekomym zagrożeniu życia sprawcy mieli wykorzystywać serwery w państwach skandynawskich, natomiast przy kolejnych – miały to być serwery w Rosji.
Sprawcy fałszywych alarmów podsłuchują polskie służby?
W przypadku mieszkania w Gdańsku, przynależącego do rodziny Karola Nawrockiego, kilka faktów odbiega od wcześniejszego schematu podobnych ataków. Po pierwsze, prowokatorzy nie tylko znali adres tego lokalu (faktycznie znajduje się on w oświadczeniu majątkowym prezydenta, jednak jest tam utajniony), lecz nawet wiedzieli, że jest on wyłączony z ochrony SOP. Po drugie – i to jest wysoce niepokojące – ich postępowanie sugerowało, że na bieżąco monitorują akcję służb i reagują na ich działania. Gdy pierwszy SMS nie przyniósł rezultatu, po 15 minutach wysłali kolejny do Wojewódzkiego Centrum Powiadamiania Ratunkowego. Tym razem nie o pożarze, lecz właśnie o dziecku, które nie wykazuje oznak życia.
To właśnie ten drugi SMS spowodował, że służby nie odstąpiły od akcji po wstępnych oględzinach, ale podjęły decyzję o wyważeniu drzwi do mieszkania. Wygląda to tak, jakby inicjatorzy mieli wgląd w komunikację pomiędzy służbami. Albo ktoś z nich znajdował się w okolicy, gdzie wszystko się działo, i obserwował z zewnątrz działania strażaków i policjantów. Stąd właśnie, zgodnie z ustaleniami „Rzeczpospolitej”, policjanci zabezpieczyli monitoring z okolicy – z ulic i budynków.
Wpadł haker, który stał za akcją podszywania się pod znane osoby. Ofiarami padła m.in. rodzina byłego szefa CBA – Pawła Wojtunika oraz posła PO –…
Relację z akcji przedstawił w TVN24 Marcin Kierwiński, szef MSWiA: – Straż dociera na miejsce zdarzenia jako pierwsza. Widzi, że nie ma dymu. Sprawdza z zewnątrz ten lokal – relacjonował. – W tym samym czasie nadchodzi kolejne zgłoszenie, które mówi o tym, że jest tam osoba, która straciła funkcje życiowe – dodawał. – Wtedy dowódca operacji, ze względu na zagrożenie życia, podejmuje decyzję o otwarciu tego mieszkania – objaśniał minister Kierwiński.
W przypadku Telewizji Republika również miały miejsce podwójne zgłoszenia
Służby w Polsce komunikują się na falach radiowych w dużej mierze otwartych i niezaszyfrowanych – ich przechwycenie jest dość łatwe i niedrogie. Służą do tego tzw. skanery radiowe do odbierania sygnału, które można nabyć za niewielkie pieniądze. Tylko w sytuacjach, gdy w grę wchodzą dane utajnione lub wrażliwe, policja przełącza się na kanał szyfrowany, kodowany.
Obecnie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i rosyjskim śladem. Sytuacja jest jednak zmienna i nic nie jest wykluczone
Jak to wyglądało w tym przypadku? „Na obszarze Gdańska policjanci wykorzystują nowoczesne systemy cyfrowej łączności radiowej” – poinformowała nas podinsp. Magdalena Ciska, rzeczniczka Komendanta Wojewódzkiego Policji w Gdańsku.
– W przypadku zgłoszeń do domów naszych dziennikarzy również notowaliśmy powtórne zgłoszenia następnego dnia. Miało to miejsce u Michała Rachonia oraz u mnie. Służby przyjechały, pomimo że dzień wcześniej fałszywy alarm okazał się nieprawdziwy – mówi „Rzeczpospolitej” Tomasz Sakiewicz, redaktor Telewizji Republika. Sprawę analizują funkcjonariusze z CBZC oraz stołeczna policja. Zabezpieczono materiał dowodowy, analizowane są dane teleinformatyczne i telekomunikacyjne.
Czy badany jest wątek rosyjski? – Obecnie polskie służby nie potwierdzają, że mamy do czynienia z tym samym sprawcą i rosyjskim śladem. Sytuacja jest jednak zmienna i nic nie jest wykluczone – przekazuje nam nasze źródło w Kancelarii Prezesa Rady Ministrów.
Ekspert: Fałszywe alarmy w Polsce przypominają model wojny hybrydowej
– Fałszywy alarm dotyczący pożaru w domu rodziców prezydenta, podobnie jak wcześniejsze interwencje wobec środowiska TV Republika, wpisuje się w schemat tzw. active measures – działań destabilizujących opisanych w rosyjskiej doktrynie operacji wpływu. Ich celem jest nie tylko spowodowanie pojedynczego incydentu, ale również generowanie chaosu informacyjnego, nasilenie emocji politycznych oraz pogłębianie polaryzacji społecznej – uważa Tomasz Safjański, profesor Akademii WSB w Dąbrowie Górniczej, wicedyrektor Centrum Badań nad Bezpieczeństwem Transgranicznym. Specjalista uważa, że wybór celów nie jest przypadkowy: z jednej strony media i osoby związane z konkretnym środowiskiem politycznym, z drugiej strony otoczenie głowy państwa. Tego typu działania mają wywołać konflikt społeczny, podkopywać zaufanie do instytucji państwa i wywoływać reakcje służb, które w konsekwencji stają się elementem wojny informacyjnej i medialnej.
– To typowy mechanizm wojny hybrydowej: wykorzystywać procedury demokratycznego państwa przeciwko niemu samemu, obciążać służby, powodować chaos i wzmacniać społeczne podziały. Celem nie jest fizyczne zniszczenie infrastruktury, ale osłabienie spójności społecznej, destabilizacja debaty publicznej i erozja zaufania obywateli do państwa – argumentuje prof. Safjański. Nie wyklucza, że „za tym mogą stać rosyjskie grupy hakerskie. W ostatnich latach służby państw UE wielokrotnie wskazywały na udział w operacjach wpływu rosyjskich grup hakerskich, takich jak Fancy Bear czy Cozy Bear”.
Jeżeli społeczeństwo zacznie dostrzegać chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez oddania strzału. Państwo sparaliżowane informacyjnie staje się wrażliwe na manipulację, polaryzację i destabilizację od wewnątrz
Oprócz typowych cyberataków grupy te brały udział również w działaniach dezinformacyjnych, operacjach psychologicznych oraz akcjach destabilizacyjnych skierowanych przeciwko państwom NATO i UE. Charakterystyczne dla rosyjskiego modelu działań jest łączenie cyberataków, prowokacji informacyjnych oraz operacji wpływu pod fałszywą flagą w jedną spójną kampanię oddziaływania społecznego.
Fałszywe alarmy w Polsce mogą być tzw. operacją pod obcą flagą
Operacje pod obcą flagą to najbardziej zaawansowana metoda dezinformacji i maskowania. Hakerzy rosyjscy celowo pozostawiają poszlaki, które mają skierować podejrzenia na zupełnie inne państwo, osoby lub organizację. W 2015 r. grupa deklarująca powiązania z ISIS zaatakowała francuską stację telewizyjną TV5 Monde oraz groziła żonom amerykańskich żołnierzy. Śledztwo wykazało, że za tymi atakami stała grupa CyberCaliphate, która w rzeczywistości była rosyjską Fancy Bear i chciała wywołać panikę przed terroryzmem islamskim na Zachodzie.
Czy fala fałszywych zgłoszeń wymierzonych w prawicowe środowiska w Polsce pasuje do tego schematu? – Typowe cechy modus operandi takich środowisk obejmują: wykorzystywanie zagranicznych serwerów VPS i infrastruktury pośredniczącej do utrudniania identyfikacji sprawców, korzystanie z telefonii internetowej, spoofingu numerów oraz usług anonimizujących, prowadzenie działań seryjnych przeciwko celom o wysokim znaczeniu medialnym, wywoływanie silnego efektu emocjonalnego i politycznego przy minimalnych kosztach operacyjnych, prowokowanie reakcji służb i instytucji państwowych w celu późniejszego wykorzystania medialnego oraz eskalowanie polaryzacji społecznej poprzez wzmacnianie konfliktów politycznych i informacyjnych – wylicza prof. Safjański.
Wszystkie te cechy dostrzegamy obecnie w Polsce. – To, chociaż ma wyglądać na działania przypadkowego „żartownisia”, nim nie jest. Tego typu operacje potrzebują zaplecza technicznego, infrastruktury, koordynacji i świadomości konsekwencji. Sprawcy wiedzą, że konfrontują się nie z pojedynczą służbą, lecz z całym państwem i jego systemem bezpieczeństwa. Dlatego takich działań nie można lekceważyć – ich celem jest testowanie odporności państwa, wywoływanie chaosu i podważanie zaufania obywateli do instytucji publicznych – podkreśla ekspert. I zaznacza, że logika współczesnej wojny hybrydowej jasno pokazuje: kolejny alarm wcale nie musi być fałszywy. Właśnie na tym opiera się mechanizm takich operacji – osłabianie czujności państwa i społeczeństwa poprzez serię prowokacji, fałszywych sygnałów i chaosu informacyjnego. Dlatego najistotniejsze jest obecnie zachowanie pełnej czujności i traktowanie każdego sygnału poważnie.
Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i to wykorzystała. Moje pytanie brzmi: co nastąpi dalej, do czego się posunie?
Tomasz Sakiewicz, który jeszcze w ubiegłym tygodniu kwestionował, że za atakiem mogą stać rosyjskie służby, dziś – w kontekście uderzenia w rodzinę prezydenta – jest przekonany, że tak jest. – Uważam, że Rosja skorzystała z ataku na nas i przejęła ten model do uderzenia w państwo, w głowę państwa. Proszę zauważyć, że doszło do tego niedługo po tym, jak Donald Trump obwieścił rozmieszczenie amerykańskiego wojska w Polsce, co z pewnością odbiera Rosji siłę geopolityczną. Rosja na naszym przykładzie zobaczyła kompromitację służb, poznała procedury alarmowe i to wykorzystała. Moje pytanie brzmi: co nastąpi dalej, do czego się posunie? – ocenia Sakiewicz.
Prof. Safjański: – Oczywiście, na obecnym etapie nie można publicznie i jednoznacznie przypisać sprawstwa Federacji Rosyjskiej bez przedstawienia mocnych dowodów operacyjnych i technicznych. Natomiast z punktu widzenia metod działania, logiki operacyjnej oraz strategicznych interesów Kremla hipoteza o rosyjskiej inspiracji lub wykorzystaniu tego incydentu w ramach działań hybrydowych jest wysoce prawdopodobna i powinna być traktowana przez państwo bardzo poważnie.
Jakie będą konsekwencje fałszywych alarmów?
Eksperci przestrzegają, że jeśli państwo nie wypracuje odporności na chaos informacyjny i seryjne fałszywe alarmy, konsekwencje mogą być bardzo poważne. – Z czasem służby zaczną funkcjonować w permanentnym przeciążeniu, funkcjonariusze będą reagować odruchowo, a decydenci stracą zdolność odróżniania prowokacji od realnego zagrożenia. W takim systemie realny atak terrorystyczny, sabotażowy lub cybernetyczny może zostać zignorowany właśnie dlatego, że wcześniej system został „uśpiony” nadmiarem fałszywych sygnałów – ostrzega Tomasz Safjański.
Rząd musi uczynić wszystko, by jak najszybciej wskazać winnych serii fałszywych alarmów, które dotarły już nawet do rodziny prezydenta Karola Nawroc…
Zatem na tego typu zgłoszenia służby muszą reagować szybko, ale z rozwagą, właściwym rozpoznaniem i podejmować działania współmierne do poziomu zagrożenia. W Gdańsku interweniujący funkcjonariusze nie wiedzieli, że akcja dotyczy mieszkania matki prezydenta, chociaż policja ma wgląd do baz adresowych, więc identyfikacja właściciela nie powinna stanowić problemu. Od razu zastosowano rozwiązanie siłowe. Tymczasem, jak podkreśla prof. Safjański, w przypadku zgłoszeń o niepewnym charakterze priorytetem powinno być jednoczesne prowadzenie działań ratunkowych i analitycznej weryfikacji wiarygodności informacji. – Zwłaszcza gdy dotyczy to miejsca o istotnym znaczeniu publicznym. Naturalnym elementem procedury powinna być szybka identyfikacja właściciela lokalu, analiza wcześniejszych incydentów, ocena ryzyka prowokacji oraz wykorzystanie wszystkich dostępnych źródeł informacji jeszcze przed eskalacją działań siłowych – wymienia.
Najniebezpieczniejsza jest jednak stopniowa utrata zaufania obywateli do państwa. – Jeżeli społeczeństwo zacznie dostrzegać chaos, niespójność decyzji i nieproporcjonalne reakcje służb, przeciwnik osiąga swój strategiczny cel bez wystrzału. Państwo sparaliżowane informacyjnie staje się podatne na manipulację, polaryzację i destabilizację od wewnątrz – zaznacza były policjant.