ABW i SKW ustaliły, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Służby dysponują informacjami świadczącymi o związkach agresorów z działaniami rosyjskich służb specjalnych.

Z opublikowane wczoraj (22 czerwca) na stronach rządowych oświadczenia wynika, że ataków na polskich polityków było dużo więcej. Agencja Bezpieczeństwa Wewnętrznego oraz Służba Kontrwywiadu Wojskowego ustaliła, że na liście celów przeprowadzonego przez grupę UNC1151 ataku socjotechnicznego znajdowało się co najmniej 4350 adresów e-mail należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej. Co najmniej 500 użytkowników odpowiedziało na przygotowaną przez autorów ataku informację, co istotnie zwiększyło prawdopodobieństwo skuteczności działań agresorów. Polskie służby dysponują wiarygodnymi informacjami łączącymi działania grupy UNC1151 z działaniami rosyjskich służb specjalnych.

Co oznacza stwierdzenie, że był to atak socjotechniczny i że część użytkowników na nie odpowiedziało? Najpewniej oznacza to tyle, że doszło do ataku phishingowego i po prostu część użytkowników kliknęło w spreparowany link, a następnie na fałszywej stronie logowania (do poczty elektronicznej lub też konta na portalu społecznościowym) podało swoje dane do logowania wskutek czego straciło kontrolę nad swoim kontem. Jeśli dane podawane przez ABW i SKW są prawdziwe to oznacza to, że atak miał skuteczność 12 procent.

Jak podają polskie służby w cytowanym oświadczeniu na liście 4350 zaatakowanych adresów znajduje się ponad 100 kont, z których korzystają osoby pełniące funkcje publiczne – członkowie byłego i obecnego rządu, posłowie, senatorowie, samorządowcy. Atak dotknął osób pochodzących z różnych opcji politycznych, a także pracowników mediów i organizacji pozarządowych. Na liście znalazł się również adres, z którego korzystał minister Michał Dworczyk. Służby odpowiedzialne za cyberbezpieczeństwo przeanalizowały kilka wiadomości wysłanych na adres ministra, które mogły posłużyć do potencjalnego phishingu o którym piszemy wyżej.

Wszystkie dotychczas pozyskane informacje wskazują, że działania grupy UNC1151, które dotknęły w ostatnich tygodniach Polskę, to element akcji Ghostwriter, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej.

W związku z ostatnimi wydarzeniami Zespół ds. incydentów krytycznych przyjął rekomendacje w zakresie ograniczenia skutków ataku względem osób pełniących funkcje publiczne i zwrócił się w trybie przewidzianym w art. 36 ustawy o krajowym systemie cyberbezpieczeństwa o zwołanie rządowego zespołu zarządzania kryzysowego. RZZK zatwierdził plan działania, a jego wykonanie zostało powierzone CSIRT NASK we współpracy m.in. z policją. Pierwsze działania zostały podjęte w piątek i są kontynuowane w tym tygodniu. Ich głównym celem jest zabezpieczenie osób, które mogły paść ofiarą ataku.

W ubiegłym tygodniu Agencja Bezpieczeństwa Wewnętrznego przesłała służbom specjalnym państw członkowskich NATO informację dotyczącą ostatnich ataków cybernetycznych realizowanych przeciwko Polsce.

Zajmująca się cyberbezpieczeństwem firma Mandiant Intelligence potwierdza zasadność oświadczenia polskich służb. Odkryliśmy liczne operacje przeciwko polskim podmiotom w ramach kampanii Ghostwriter. Po raz pierwszy wzmianki o grupie UNC1151 pojawiły się w lipcu ubiegłego roku. Pisano wówczas, że jest to operacja wpływu, mająca na celu promowanie narracji krytycznych wobec NATO, głównie na Litwie, Łotwie i w Polsce.