Prasa: Pierwsze włamanie na konto Dworczyka nastąpiło już we wrześniu 2020 roku

Cyberprzestępcy mogli mieć nieograniczony dostęp do skrzynki mailowej Michała Dworczyka aż przez dziewięć miesięcy - informuje "Rzeczpospolita". Według ustaleń dziennika, pierwsze włamanie na konto szefa KPRM nie nastąpiło przed kilkoma tygodniami, wraz z wybuchem tzw. afery mailowej, a 22 września 2020 roku.

Według źródeł "Rzeczpospolitej", hakerom udało im się pozyskać login i hasło do prywatnej skrzynki  Michała Dworczyka w domenie na wp.pl poprzez oszustwo phishingu (polegające m.in. na podszywaniu się pod daną witrynę, np. banku, oraz rozsyłaniu zafałszowanych wiadomości z odnośnikami). Pierwsza udana próba, jak ustalił dziennik, miała miejsce 22 września ubiegłego roku, potem takich wejść było co najmniej kilka.

"Rzeczpospolita": Pierwsze włamanie na konto Dworczyka nastąpiło 22 października

Wiadomości, które miały zostać wykradzione z prywatnej poczty szefa Kancelarii Prezesa Rady Ministrów od początku czerwca publikowane są w serwisie Telegram. Rząd nie potwierdził dotąd, czy treści, które tam trafiają, są w pełni autentyczne. 

"Jak ustaliliśmy, wejście na konto FB żony ministra, od którego zaczęła się 'afera mailowa', było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła - hakerzy uzyskali bowiem poprawne dane, jakich używał minister. To dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania - takiego incydentu nie odnotowano" - czytamy w artykule. 

O tym, że hakerom kilkukrotnie udało się wejść na pocztę Dworczyka, informowały również służby specjalne: ABW i SKW. Co więcej, poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra. 

"Wiemy, że czekają na dobry moment, by to wykorzystać, tak by pasowało to do ich narracji"

Między wrześniem 2020 r., gdy hakerzy mieli uzyskać dostęp do poczty ministra, a czerwcem 2021 r. cyberprzestępcy dokonali kilku udanych ataków na prywatne konta polityków PiS, w tym Joanny Borowiak, Arkadiusza Czartoryskiego i Marka Suskiego. Według służb, za włamaniami stoi grupa UNC1151, którą można powiązać "z działaniami rosyjskich służb specjalnych". Przejęcie kont miało zostać przeprowadzone w ramach akcji "Ghostwriter". 

Dlaczego więc maile Dworczyka zaczęły wypływać dopiero teraz, skoro hakerzy mieli do nich dostęp od dziewięciu miesięcy? Według strony rządowej, a także źródeł "Rz", moment wybuchu "afery mailowej" można powiązać z zatrzymaniem przez białoruskie władze opozycyjnego dziennikarza Romana Protasiewicza. - Analizując ataki "Ghostwritera", wiemy, że gromadzą bazy ukradzionych danych i czekają na dobry moment, by to wykorzystać, tak by pasowało to do ich narracji - mówi informator dziennika.