Polska. Rosja i Białoruś próbowały wpłynąć na wybory

Rosja i Białoruś to kraje, które próbowały wywierać wpływ na wynik wyborów w Polsce - twierdzi ośrodek DFRLab w opublikowanej niedawno analizie. Jak podkreślają eksperci, wraz z wyborami z 15 października br., Polska weszła w długi cykl wyborczy - na wiosnę odbędą się bowiem wybory samorządowe, a potem - w 2025 r. - wybory prezydenckie. W 2024 r. wybierać będziemy także swoich przedstawicieli do Parlamentu Europejskiego.

W działaniach, które adwersarze podejmowali przed minionymi wyborami parlamentarnymi, wyróżniają się m.in. ataki DDoS, dezinformacja, wzmacnianie polaryzacji społecznej i rozsiewanie fałszywych wiadomości, ukierunkowanych na obniżanie zaufania do instytucji demokratycznych. Wrogie operacje wpływu - niezależnie od tego, czy pochodzą z wnętrza kraju i są elementem rozgrywek politycznych pomiędzy walczącymi partiami, czy też z zewnątrz i realizowane przez aktorów zagranicznych - padają jednak na szczególnie podatny grunt. Wojna za wschodnią granicą Polski, trudny okres gospodarczy i kwestie związane z ryzykiem wykorzystania migracji w wojnie hybrydowej przez Putina i Łukaszenkę sprawiają, że wiele narracji może zyskać „zwolenników”.

Jak próbowano wpływać na wybory w Polsce

DFRLab w swojej analizie wykorzystuje klasyfikację operacji wpływu przed wyborami opracowaną przez think-tank Atlantic Council. Bazuje ona na sześciu różnych typach działań. Są to:

• nadużycia wobec infrastruktury;
• manipulacja głosami;
• publikacje strategiczne;
• generowanie zaangażowania wokół fałszywych informacji;
• wzmacnianie sentymentów;
• fabrykacja treści.

Według specjalistów, przed wyborami z 15 października 2023 r. w Polsce wykorzystano aż cztery z sześciu powyżej przedstawionych rodzajów działań.

Cyberatak na polityków PiS

W analizie czytamy, że jednym z wykorzystanych sposobów na wywieranie wpływu były nadużycia wobec infrastruktury. Polegają one m.in. na takim wykorzystaniu wcześniej zgromadzonych informacji o infrastrukturze teleinformatycznej, które mogą posłużyć do zakłócenia jej działania lub umożliwić np. aktywność cyberszpiegowską. W sierpniu i wrześniu - jak pisze DFRLab - w Polsce sprawcy powiązani z Rosją i Białorusią przeprowadzili co najmniej jeden atak phishingowy oraz liczne ataki DDoS, których celem były właśnie takie działania.

Stoi za nimi grupa UNC1151 (znana też jako Ghostwriter) - to informacje, które specjaliści podali za pełnomocnikiem rządu ds. cyberbezpieczeństwa (funkcję tę w ramach poprzedniej administracji pełnił były minister cyfryzacji Janusz Cieszyński). To właśnie cyberprzestępcy z tego gangu dokonali ataku phishingowego 22 sierpnia, podszywając się pod dwóch urzędników wysokiego szczebla z polskiego rządu i wysyłając złośliwe e-maile zawierające malware Cobalt Strike. Korespondencja trafiła do członków partii PiS.

Cobalt Strike, o którym niejednokrotnie pisaliśmy na naszych łamach, pozwala m.in. na wykradanie danych, czy wysyłanie złośliwych wiadomości „w imieniu ofiary” do innych osób. Według DFRLab, Janusz Cieszyński miał odbyć spotkanie z przedstawicielami PiS i poinformować ich o ataku, a także ostrzec przed możliwymi dalszymi działaniami hakerów.

Seria DDoS-ów na polskie witryny

W sierpniu i wrześniu ponad 15 różnych rosyjskich grup cyberprzestępczych miało natomiast DDoS-ować polskie strony internetowe, wcześniej umawiając się w tej sprawie na komunikatorze Telegram. Centralnym „organizatorem” ataków była grupa NoName057(16), o której pisaliśmy na CyberDefence24.pl tutaj.

Według DFRLab grupa ta ujawniła, że ataki DDoS związane były z wyborami, bo na swoim kanale cyberprzestępcy napisali, iż „w Polsce idą wybory a ideologią obecnego rządu jest rusofobia”. Donald Tusk natomiast, według hakerów, prezentuje „chore ambicje”. Cyberataki, których wówczas doświadczyła Polska, nie były bardzo szkodliwe, natomiast zakłóciły działanie stron m.in. banku Credit Agricole, Plus, Raiffeisen Banku, BNP Paribas, a także usługi Envelo. Hakerzy twierdzili też, że atakowali strony Warszawskiego Metra, Sądu Najwyższego i Portu Gdynia.

Publiczne ujawnianie nielegalnie pozyskanych materiałów

Działanie to może mieć wymiar strategiczny i nie zawsze musi za nim stać wrogi aktor z zagranicy. Znane są przypadki, kiedy wykradzione przez cyberprzestępców materiały (bądź też treści pozyskane w inny sposób - jednak bezprawnie) były publikowane przez walczących z sobą oponentów politycznych i było to działanie wyreżyserowane czysto na potrzeby krajowej polityki.

Operacje typu hack-and-leak, bo tak je określamy, zdaniem DFRLab w Polsce przed wyborami w październiku nie były realizowane. Nie oznacza to jednak, że nie były wykorzystywane materiały pochodzące z tego rodzaju operacji, które miały miejsce wcześniej. Mówimy tu oczywiście o materiałach z tzw. afery Dworczyka, które przed 15 października znów miały swoje „pięć minut” w polskim internecie, szczególnie zaś w mediach społecznościowych.

O atrybucji haku na prywatną skrzynkę byłego szefa KPRM Michała Dworczyka pisaliśmy na CyberDefence24.pl tutaj. Stoi za nią grupa UNC1151 związana według firmy Recorded Future z rosyjskim wywiadem wojskowym GRU, a według spółki Mandiant należącej do Google - z białoruską służbą bezpieczeństwa.

DFRLab przypommina, że według polskich władz, na celowniku cyberprzestępców stojących za tą operacją znalazło się ok. 2 tys. osób do końca 2021 r. a powodzeniem zakończyło się ok. 700 cyberataków. 40 proc. z tej liczby to zhakowani politycy. Według specjalistów, głównym celem operacji było obniżenie zaufania społeczeństwa do instytucji państwa.

Powiedzieliśmy już, że pozyskiwane nielegalnie materiały mogą być wykorzystywane przez partie polityczne do walki z przeciwnikami na lokalnym gruncie i tak się stało tym razem.

Maile Dworczyka rozgrywała tak Platforma Obywatelska, wykorzystując je w kampanii z hasztagiem #maileprawdy w mediach społecznościowych. Według DFRLab, do 15 października partia ta promowała w sieciach społecznościowych aż 14 spotów wideo opartych o wycieki ze skrzynki polityka PiS, a w jednym ze spotów wykorzystała sztuczną inteligencję do wygenerowania głosu byłego premiera Mateusza Morawieckiego. Początkowo materiału nie oznaczyła jako generowanego przy użyciu algorytmów. Została za to ostro skrytykowana, o czym także przeczytacie na naszych łamach. Pomiędzy 20 sierpnia a 15 października, według ekspertów, hasztag #maileprawdy zgromadził ok. 24 tys. wzmianek.

Platforma w ten sposób dostarczyła paliwa realizowanej przez obce służby operacji hack-and-leak, poza tym - jak zwraca uwagę DFRLab - nadal nie wiadomo, ile maili z „Poufnej Rozmowy” jest prawdziwych, ile zaś to sfabrykowane materiały.

Farmy trolli i fałszywe profile

Fałszywe profile w mediach społecznościowych i generowane z ich pomocą zaangażowanie to kolejny rodzaj działań, który pojawił się przed wyborami i był bezpośrednio ukierunkowany na manipulowanie opinią publiczną. Według ekspertów, skala operacji tego typu w Polsce nie była zbyt duża, ale w sieci komunikatora Telegram pojawił się kanał o nazwie „Ktoś”, który angażował się w takie aktywności.

Według specjalistów, operatorem kanału był podmiot z Białorusi. Istnieją także przesłanki wskazujące, że to osoba (lub osoby), dla której pierwszym językiem jest język rosyjski, pomimo tego, że operator kanału podaje się za Polaka.

4 października na kanale zaczął pojawiać się przekaz zachęcający do bojkotu organizowanegp przez PiS referendum, które było bardzo kontrowersyjnym tematem. W argumentacji pojawiły się tezy, że referendum to oszustwo. Kilka dni później - 9 października - na kanale pojawiły się wpisy mówiące, że w kontekście wyborów bardzo prawdopodobne jest sfałszowanie ich wyników. 13 października zaś - post z konta Kresy.pl na Telegramie, w którym można było przeczytać, że jedna z organizacji non-profit związanych z PiS zamówiła ok. 30 tys. fałszywych kart do głosowania, niczym nie różniących się od prawdziwych i w ten sosób właśnie dokonane zostaną nadużycia wyborcze.

Anielskie Siostry Jasnowidzki to kolejny kanał na Telegramie, którego operator pozostaje anonimowy, ale według DFRLab stoją za nim Rosjanie. W sierpniu 2023 r. pisał on o tym, że procesy wyborcze w Polsce są nieuczciwe, a wyniki tych październikowych zostały już z góry ustalone.

Manipulowanie emocjami

Manipulacja emocjami opinii publicznej to jeden z najskuteczniejszych w Polsce środków podejmowanych w ramach operacji wpływu. Widzieliśmy to na przykładzie pandemii COVID-19, a także w ramach akcji dezinformacyjnych realizowanych przez Rosję po wybuchu pełnoskalowej wojny na Ukrainie.

W kontekście wyborów w październiku, również obserwowano tego typu działania - jak pisze DFRLab w swojej analizie, głównym celem było obniżenie zaufania do instytucji publicznych i procesów demokratycznych. Wykorzystano do tego m.in. temat uchodźców z Ukrainy, który okazał się najsilniej polaryzującym Polaków zagadnieniem.

W temacie uchodźców, uaktywniły się konta, o których prokremlowskiej działalności kiedyś już informowaliśmy na łamach naszego serwisu. To m.in. Niezależny Dziennik Polityczny, podszywający się pod serwis informacyjny, bardzo często realizujący agendę propagandową Kremla. Kanał ten zamieścił „informację”, jakoby polskie władze ukrywały, że to uchodźcy z Ukrainy są źródłem pochodzenia bakterii legionelli, z którą problem wystąpił w sierpniu w Rzeszowie i innych miastach Polski.

Wspomniane wcześniej konto Anielskie Siostry Jasnowidzki natomiast zamieszczało na swoim kanale treści wskazujące, że liczba urodzeń w Polsce spada, bo „kraj został już oddany komu innemu” i więcej Polaków nie jest potrzebnych, a „ręce do pracy już przyjechały ze Wschodu”. To samo konto, jak wspominają w swojej analizie eksperci, pisało, że polski rząd zdestabilizował własny kraj, pozwalając na wjazd milionom Ukraińców.

Do pobudzania polaryzacji i wzmacniania podziałów była wykorzystywana również kwestia wojny hybrydowej na granicy polsko-białoruskiej, do której Łukaszenka i Putin wykorzystują uchodźców masowo zwożonych w to miejsce. Sprawa ta budzi wielkie kontrowersje wśród Polaków, a Białoruś wykorzystuje ją do wzmagania podziałów społecznych. Ma to miejsce przede wszystkim przez amplifikację przekazu o niehumanitarnych działaniach podejmowanych przez funkcjonariuszy polskich służb.

Dobrym przykładem może być działalność kanału FM BORDER na Telegramie. To białoruskie konto, które 13 października zamieściło treść o rzekomym zabiciu ciężarnej kobiety na granicy, którego mieli dopuścić się polscy funkcjonariusze. Temat granicy Polski z Białorusią według DFRLab stał się dodatkowo nośny, gdyż we wrześniu ukazał się film Agnieszki Holland „Zielona Granica” i spór wokół kwestii praw człowieka w sytuacji wojny hybrydowej na granicy rozgorzał na nowo.

Aktywność państwowych mediów na Białorusi

DFRLab dużo uwagi poświęca aktywności białoruskich mediów kontrolowanych przez państwo. W sierpniu tego roku powstał polskojęzyczny kanał Radia Białoruś na YouTube, we wrześniu zaś - kanał na Telegramie również prowadzony po polsku. Głównym celem działalności obu ośrodków było rozsiewanie wątpliwości na temat uczciwości procesów demokratycznych w Polsce i demokracji jako takiej.

Dzień przed wyborami białoruska agencja prasowa BELTA uruchomiła swój „serwis informacyjny” w języku polskim, gdzie można znaleźć przede wszystkim wypowiedzi białoruskiej wierchuszki oraz komentarze Polaków prezentujących poglądy bieżne z linią Mińska. W dniu wyborów na stronie publikowane i wzmacniane były przekazy dotyczące rzekomych naruszeń prawa wyborczego, a dzień wcześniej opublikowano tam artykuł cytujący Lecha Wałęsę, którego słowa przedstawiono tak, jakoby sugerował, że w Polsce może dojść do wojny domowej.

Sfabrykowane materiały w internecie

Jeśli chodzi o fałszywe materiały publikowane w internecie, to latem na Telegramie pojawiły się sfabrykowane zdjęcia przedstawiające rzekomą obecność Grupy Wagnera na Białorusi blisko granicy z Polską. Wcześniej, 23 lipca, Alaksandr Łukaszenka twierdził, że najemnicy zapytali o pozwolenie na „wycieczkę do Warszawy i Rzeszowa”.

14 sierpnia Agencja Bezpieczeństwa Wewnętrznego przekazała, że zatrzymano dwóch obywateli Rosji, którzy mieli rekrutować na rzecz Grupy Wagnera w Krakowie i Warszawie w dniach 10-11 sierpnia poprzez rozklejanie na mieście plakatów z kodem QR.

DFRLab wskazuje też na inne przypadki fabrykacji treści, np. artykuł w „serwisie” Polskanews.org, który twierdził, że rządząca jeszcze partia Prawo i Sprawiedliwość zgromadziła dane uczestników Marszu Miliona Serc organizowanego przez opozycję, celem wysłania ich do prokuratury. Polskanews.org powoływał się przy tym na rzekomy list od prezydenta miasta Tczewa, którego „zdjęcie” zamieszczono w artykule. List był całkowicie fałszywy. Serwis Polskanews.org natomiast - jak wykazali specjaliści DFRLab - powiązany jest z Rosją, przede wszystkim poprzez osobę Marka Kołodziejczyka, którego teksty regularnie ukazują się na portalu.

Czy przestrzeń informacyjna RP jest bezpieczna?

Uważna lektura analizy DFRLab każe stawiać wiele pytań o bezpieczeństwo przestrzeni informacyjnej RP, szczególnie w kontekście procesów wyborczych. Wysłaliśmy w tej sprawie pytania na adres instytucji odpowiedzialnych za pieczę nad tym bezpieczeństwem. Czekamy na odpowiedź.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].