Opublikowany raport jest częścią projektu Polish Election Watch. W obserwację okresu przedwyborczego w naszym kraju zaangażował się m.in. Digital Forensic Research Lab (DFRLab). To zespół badawczy stworzony przez Radę Atlantycką. Ta od dziesiątek lat jednoczy organizacje społeczne działające na rzecz realizacji bezpieczeństwa i pokoju – celów przyświecających Traktatowi Północnoatlantyckiemu.

Podmioty rosyjskie i białoruskie atakowały polską cyberprzestrzeń

Pierwszym rodzajem obcej ingerencji zidentyfikowanym przez DFRLab było wykorzystywanie luk w polskiej infrastrukturze cyfrowej. Może ono polegać m.in. na przeprowadzaniu ataków phishingowych, czyli na podszywaniu się w celu wyłudzenia informacji, na zainstalowaniu szkodliwego oprogramowania na urządzeniu lub na nakłonieniu do określonych działań. Innym sposobem są ataki DDoS, w których blokuje się dostęp do zasobów (np. jakiejś strony) poprzez ich przeciążenie. 

Według DFRLab rosyjskie i białoruskie podmioty przeprowadziły w sierpniu i we wrześniu 2023 roku co najmniej jeden atak phishingowy i wiele ataków DDoS na polskie cele.

Członkowie PiS celem ataku phishingowego

Grupa hakerska UNC1151 (bardziej znana pod nazwą Ghostwriter), która jest prawdopodobnie powiązana z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU), przeprowadziła 22 sierpnia atak phishingowy. Hakerzy podszyli się pod dwóch urzędników wysokiego szczebla polskiego rządu i wysłali do członków Prawa i Sprawiedliwości wiadomości e-mail zawierające złośliwe oprogramowanie Cobalt Strike. 

W komunikacie prasowym rządu poinformowano, że zainstalowanie na komputerze ofiary Cobalt Strike może umożliwić wrogim podmiotom kradzież danych, żądanie okupu lub wysyłanie złośliwych wiadomości do kolejnych odbiorców. 

Atak DDoS na ważne polskie strony internetowe

W innym incydencie wskazanym przez DFRLab, w sierpniu i wrześniu 2023 roku, ponad piętnaście rosyjskich grup hakerskich przeprowadziło serię ataków DDoS na polskie strony internetowe. Główna grupa hakerska odpowiedzialna za te ataki NoName057(16) 4 września przyznała na swoim kanale w komunikatorze Telegram, że ataki były związane z wyborami.

Według wpisów publikowanych przez NoName057(16) na Telegramie hakerom udało się zakłócić dostęp do wielu polskich stron internetowych, w tym stron instytucji finansowych. Grupa NoName057(16) twierdzi również, że zaatakowała m.in. strony internetowe Sądu Najwyższego, warszawskiego metra i portu w Gdyni. Firma Check Point Software Technologies potwierdziła, że rosyjscy hakerzy rzeczywiście przeprowadzili ataki na polskie cele w sierpniu 2023 roku.

W kampanii wykorzystywano dane wykradzione przez hakerów

Drugim rodzajem obcej ingerencji w wybory, o którym pisze DFRLab, było publikowanie nielegalnie uzyskanych informacji (tzw. hack-and-leak), w większości skradzionych wskutek wykorzystania luk w infrastrukturze cyfrowej. Jak zauważył analityk Givi Gigitashvili, w kontekście wyborów takie operacje często mają na celu podważenie pozycji kandydatów partii lub samej organizacji.

Kto odpowiada za wyciek maili Michała Dworczyka?

DFRLab nie znalazło żadnych publicznych doniesień, że w okresie poprzedzającym wybory parlamentarne w Polsce w 2023 roku podmioty zagraniczne dokonały nowych operacji hack-and-leak, jednak wykorzystano materiały z tego typu operacji przeprowadzonych przez grupę Ghostwriter w 2020 i 2021 roku.

W 2021 roku hakerzy z grupy Ghostwriter włamali się na prywatne konto e-mail Michała Dworczyka, ówczesnego szefa kancelarii premiera Mateusza Morawieckiego, i wykradli dużą ilość materiałów. Następnie odpowiedzialna za to grupa stworzyła kanał na Telegramie pod nazwą Poufna Rozmowa, gdzie publikowała skradzione materiały.

Kanał zablokowano prawdopodobnie na wniosek polskiego rządu. Wtedy operatorzy kanału stworzyli stronę internetową poufnarozmowa.com, na której nadal publikowali wykradzione dokumenty. Od 1 grudnia br. ta strona jest niedostępna, ale otwarto kanał na Telegramie pod nazwą poufnarozmowa2.

Maile ministra Dworczyka jako broń w kampanii wyborczej

Jak opisuje DFR Lab, na dwa miesiące przed wyborami parlamentarnymi w 2023 roku największa partia opozycyjna, Platforma Obywatelska, zaczęła rozpowszechniać przecieki ze skrzynki szefa KPRM w mediach społecznościowych. PO stworzyła hashtag #maileprawdy, aby rozpowszechniać rozmowy między polskimi urzędnikami wysokiego szczebla.

DFRLab ustaliło, że hashtag #maileprawdy został uruchomiony 20 sierpnia 2023 roku i zebrał ponad 24 tys. wzmianek w okresie od 20 sierpnia do 15 października. Najwięcej reakcji użytkowników na platformie X, wśród materiałów używających hashtagu, wywołały wpisy z konta PO.

Analitycy krytykują działania PO

DFRLab zwraca uwagę, że decyzja partii o wykorzystaniu wycieków w kampanii wyborczej była problematyczna. Wycieki wynikały z działań wrogich podmiotów zagranicznych. Zapewnianie im dodatkowej widoczności może wspierać realizację nieprzyjaznych zamiarów tych podmiotów.

Co więcej, nie ma pewności, jaka część tych wycieków jest autentyczna. Poprzez rozpowszechnianie ich jako wiarygodnych Komitet Koalicji Obywatelskiej mógł przyczynić się do powielania fałszywych informacji.

„Ktoś” usiłował manipulować polską opinią publiczną

Trzecim rodzajem obcej ingerencji zidentyfikowanym przez DFRLab był tzw. false-front engagement. To działania polega na tworzeniu przez wrogie podmioty fałszywych profili w mediach społecznościowych w celu interakcji z odbiorcami w kraju docelowym i manipulowania opinią publiczną.

W Polsce tej metody nie wykorzystano na większą skalę. Jeden kanał na Telegramie o nazwie „Ktoś” publikował treści wpasowujące się w to zjawisko. Zdaniem analityków DFRLab administratorzy kanału mogą być rodzimymi użytkownikami języka rosyjskiego. 

Budowanie obaw przed fałszerstwem wyborczym

9 października kanał Ktoś na Telegramie opublikował wpis, w którym oświadczył, że prawdopodobieństwo fałszerstwa wyborczego w Polsce jest zbyt wysokie i że polskie organizacje robią wszystko, co w ich mocy, aby zminimalizować możliwość oszustwa. 

Następnie 13 października Ktoś udostępnił post na Telegramie z kanału Kresy.pl, na którym stwierdzono, że organizacja non profit powiązana z PiS zamówiła ok. 30 tys. fałszywych kart do głosowania. Artykuł nie zawierał żadnych dowodów na prawdziwość tego zdarzenia. We wpisie stwierdzono, że najprawdopodobniej była to próba przeprowadzenia masowego oszustwa.

Na innym anonimowy kanale Telegramu, Anielskie Siostry Jasnowidzki, który również podejrzewa się o związki z Rosją, napisano w sierpniu 2023 roku, że wybory parlamentarne w Polsce były „fikcją”. Pojawił się tam również film (już niedostępny), który rzekomo dowodził, że wyniki wyborów zostały z góry sfałszowane.

Podsycanie nastrojów antyukraińskich

Zdaniem analityków DFRLab w wyborach 2023 roku temat ukraińskich uchodźców był jednym z najbardziej dzielących społeczeństwo. 24 sierpnia polskojęzyczny kanał na Telegramie, „Niezależny Dziennik Polityczny”, napisał, że polskie władze ukrywały odpowiedzialność ukraińskich uchodźców za wybuch epidemii bakterii Legionella. 

Antyukraińskie treści pojawiały się także na wspomnianym kanale Anielskie Siostry Jasnowidzki. Przykładowo: 26 sierpnia napisano tam, że wskaźnik urodzeń w Polsce gwałtownie spada, ale nie trzeba rodzić więcej Polaków, ponieważ kraj został już „przekazany komuś innemu” i że „parobkowie już przybyli ze Wschodu”.

Wykorzystanie sytuacji na granicy z Białorusią

Zgodnie z ustaleniami DFRLab wrogie podmioty zagraniczne próbowały również wykorzystać sytuację na granicy polsko-białoruskiej. 

Białoruskie kanały rządowe i polskojęzyczne probiałoruskie kanały na Telegramie wykorzystały długotrwały kryzys jako pretekst do rozpowszechniania przed wyborami wiadomości o surowych środkach stosowanych przez polską Straż Graniczną. Przykładowo: 12 października białoruski kanał na Telegramie FM BORDER | Fakty i Opinie napisał, że polscy strażnicy graniczni zabijają na granicy kobiety w ciąży. 

Białoruskie media starały się docierać do Polaków

W sierpniu 2023 roku Radio Białoruś, należące do kontrolowanego przez państwo podmiotu Belteleradio, uruchomiło polskojęzyczny kanał na YouTubie, a następnie 6 września uruchomiło kanał na Telegramie. Według DFRLab Białoruś wykorzystywała te kanały do delegitymizacji procesów wyborczych w Polsce poprzez zwiększanie nieufności do procesu wyborczego i ogólnie do demokracji.

11 października Międzynarodowe Radio Białoruś opublikowało wywiad (przeprowadzony w języku polskim) z probiałoruskim polskim komentatorem, w którym stwierdził on, że „polskie elity zdradziły kraj”, a polski elektorat nie ma nadziei, że cokolwiek zmieni się po 15 października.

Białoruskie podmioty powiązane z państwem również próbowały manipulować nastrojami przed wyborami w Polsce. Na dzień przed wyborami parlamentarnymi portal BELTA, kontrolowany przez państwo białoruskie, uruchomił polskojęzyczną stronę informacyjną. W dniu wyborów promowano na niej m.in. artykuł o rzekomych naruszeniach prawa wyborczego.

Spreparowane treści – narzędziem walki informacyjnej w Polsce

Jak ustalił DFRLab, zagraniczne podmioty wykorzystały również sfabrykowane treści do wywołania zamieszania i wzmocnienia podziałów społecznych przed wyborami. 23 lipca prezydent Łukaszenka oświadczył, że najemnicy z Grupy Wagnera stacjonujący na Białorusi poprosili o pozwolenie „na wycieczkę do Warszawy i Rzeszowa”, a na Telegramie i w mediach społecznościowych pojawiły się  sfałszowane zdjęcia rzekomo potwierdzające obecność wagnerowca na  polsko-białoruskiej granicy.

13 października portal polskanews.org opublikował niezweryfikowaną informację, że PiS rzekomo zebrał dane uczestników opozycyjnego „Marszu Miliona Serc” i wysłał je do prokuratury. Co więcej, polskanews.com miało rzekomo wejść w posiadanie listu Mirosława Pobłockiego, prezydenta Tczewa, w którym to sfałszowanym liście Pobłocki informuje prokuraturę, że 6 006 mieszkańców Tczewa, którzy wzięli udział w marszu, mieli negatywny stosunek do PiS.

Polska przestrzeń informacyjna była na celowniku

Dostępne dowody wykazały, że przed wyborami parlamentarnymi 15 października zagraniczne podmioty podjęły szereg działań wymierzonych w polskie środowisko informacyjne i w polską cyberprzestrzeń. Próby wykorzystania luk w infrastrukturze cyfrowej przejawiały się w postaci ataków phishingowych na polskich polityków oraz ataków DDoS na polskie strony internetowe. Wykorzystywanie w sieci danych pozyskanych w operacji hack-and-leak pokazało, że ingerencja w wybory może być procesem długotrwałym.

Wzmacnianie skrajnych nastrojów, zaangażowanie fałszywych kont i dystrybucja sfabrykowanych treści przez zagraniczne podmioty była próbą wykorzystania istniejących napięć społecznych w Polsce. Zdaniem DFRLab u podstaw wszystkich tych działań leżała próba delegitymizacji instytucji państwowych i podważenia zaufania do procesu wyborczego.