Kulisy dezinformacji związanej z atakiem na witrynę Akademii Sztuki Wojennej

Atak hakerski, którego celem stała się strona Akademii Sztuki Wojennej w Warszawie, opisaliśmy 23 kwietnia w Konkret 24. Polegał na tym, że w dziale "Aktualności" tej witryny pojawił się list rzekomo napisany przez gen. bryg. dr inż. Ryszarda Parafianowicza, rektora-komendanta uczelni.

Autor miał kierować list do najważniejszych polskich wojskowych - szefa Sztabu Generalnego Wojska Polskiego gen. Rajmunda T. Andrzejczaka, dowódcy generalnego rodzajów sił zbrojnych gen. Jarosława Miki, dowódcy operacyjnego rodzajów sił zbrojnych gen. Tomasza Piotrowskiego, a także do pozostałych generałów, oficerów i żołnierzy polskiego wojska.

List w negatywnym świetle stawiał amerykańskie wojsko, zawierał krytykę sojuszu wojskowego z USA ("Amerykanie robią swoje interesy i próbują demonstrować swoją siłę wojskową", "Nastąpiła amerykańska okupacja tak zwana dobrowolna, ale dla nas przymusowa"), a także krytykę prowadzenia ćwiczeń DEFENDER-Europe 20 w pobliżu rosyjskiej granicy.

Tego samego dnia, gdy list pojawił się na stronie (22 kwietnia), przedstawiciele uczelni poinformowali, że był to wynik ataku hakerskiego. "W fałszywym artykule Rektorowi-Komendantowi ASzWoj przypisano słowa, których nigdy nie napisał" – dodano.

"Twierdzenia zawarte w sfałszowanym liście gen. Parafianowicza w pewnym sensie wpisują się w tezy manipulacyjne, które są realizowane przez rosyjskie ośrodki propagandowe" – komentował wtedy dla Konkret24 Kamil Basaj, założyciel Disinfo Digest, centrum badań i przeciwdziałania manipulacji środowiskiem informacyjnym.

Po usunięciu artykułu ze strony uczelni sprawą zajęli się eksperci ds. dezinformacji ze Stanford Internet Observatory działającego w ramach programu Cyber Policy Center na Uniwersytecie Stanforda w Dolinie Krzemowej. Ich analiza wykazała siatkę powiązań i kont, która miały brać udział w kolportowaniu nieprawdziwych informacji - nie tylko w polskiej sieci.

Zamieszczenie na witrynie ASzWoj fałszywego listu było pierwszym krokiem większej operacji. Nie był to jedyny atak przeprowadzony w jej ramach.

Niedługo po nim w trzech portalach – Prawy.pl, Lewy.pl i Ono24.info – opublikowano teksty informujące o treści listu rektora. Wszystkie z takim samym tytułem: "Skandaliczny list rektora Akademii Sztuki Wojennej: Politycy PiS prowadzą nas do katastrofy". Administratorzy stron Lewy.pl i Prawy.pl już po fakcie zapewnili, że również padli ofiarą ataku hakerskiego, że nie byli świadomi publikacji artykułów na swoich stronach. Analitycy ze Stanford Internet Observatory podają przykłady, że może to być prawda.

"Artykuły, które pojawiły się na portalach, były tak naprawdę edytowanymi wersjami starszych tekstów" (na inny temat – przyp. red.) – zauważają autorzy raportu i wskazują, że adres URL artykułu na stronie Prawy.pl nadal jest powiązany z facebookowym wpisem z 27 lutego 2020. Podaje już zaktualizowaną wersję artykułu o "skandalicznym liście rektora", ale wciąż starą datę publikacji oryginalnego tekstu.

"Umożliwiło to hakerom linkowanie do artykułów w mediach społecznościowych bez konieczności ich ponownego 'publikowania', co mogłoby zaalarmować administratorów witryny" – tłumaczą badacze. Drugim dowodem na atak może być fakt, że zaktualizowane teksty nie zostały opublikowane na profilach portali w dzień ich zmiany.

Na podstawie tych ustaleń autorzy raportu stworzyli listę kont, które niedługo po publikacji artykułów w trzech portalach zaczęły udostępniać teksty w różnych facebookowych grupach. Szczególną uwagę przykuły tam dwa nazwiska: Adam Kamiński i Wojciech Brozek. Użytkownicy posługujący się kontami o tych nazwach masowo wstawiali linki do tekstów na Lewy.pl i Prawy.pl w takich grupach jak: "Patriotyczna Polska", "Rozwiązać Unię Europejską" czy "Obóz Wielkiej Polski".

– Tekst szybko zaczął być udostępniany w facebookowych grupach, co sugeruje, że konta, które go udostępniały, już wcześniej wiedziały, że artykuł pojawi się w wybranych portalach – komentuje w rozmowie z Konkret24 jedna z autorek raportu, Anna Gielewska, stypendystka Uniwersytetu Stanforda i członek zespołu monitorującego dezinformacje przed wyborami w Polsce. – Wszystko po to, żeby rozprowadzić teksty w sieci, ale nie udostępniać ich na oficjalnych profilach portali. To wydłużało czas, po którym ktoś zauważy atak i usunie artykuły. Chodziło więc o maksymalny ruch przy minimalnej widoczności – tłumaczy.

Dla analityków dezinformacji oba konta wstawiające linki do tekstów na Lewy.pl i Prawy.pl nie były nieznane. Te nazwiska widnieją w zakładce "Kontakt" portalu Niezależny Dziennik Polityczny. Adam Kamiński ma być jego redaktorem prowadzącym, natomiast Wojciech Brozek rzekomo stale współpracuje z portalem. Konta założone na te nazwiska administrowały także profilem NDP na Facebooku.

Sam Niezależny Dziennik Polityczny już wielokrotnie, także w analizach Konkret24, był łączony z realizacją celów rosyjskiej polityki zagranicznej w Polsce. W styczniu 2019 roku opisaliśmy m.in. zamieszczony tam spreparowany list polskich generałów, którzy rzekomo mieli chcieć odwołania ministra obrony narodowej. Teksty NDP opierano np. na spreparowanych słowach szefa sztabu wojsk amerykańskich w Europie, który miał mówić, że przygotowania polskiej armii do ćwiczeń Defender 20 to "prawdziwa katastrofa".

– W przekonaniu, że nie jest to zwykły portal, utwierdza nas brak jakiegokolwiek modelu biznesowego – mówi o Niezależnym Dzienniku Politycznym Anna Gielewska. – Nie wiadomo, z czego się utrzymuje. Nie ma tam reklam, subskrypcji czy jakichkolwiek opłat. Jednocześnie regularnie publikuje się dosyć sporo tekstów. Z naszych analiz aktywności tego portalu wynika, że zasadniczo funkcjonuje głównie od poniedziałku do piątku. To wskazuje, że mamy do czynienia z zawodowym, profesjonalnym przedsięwzięciem – dodaje.

Przedsięwzięcie obejmuje nie tylko publikowanie tekstów na stronie, ale też działalność w mediach społecznościowych. Przykładem jest rozprowadzanie zhakowanych artykułów o sfałszowanym liście rektora AszWoj - miało charakter masowy i skoordynowany. Badacze z Uniwersytetu Stanforda zidentyfikowali w sumie 57 przykładów udostępnień tekstów dokonanych przez konta powiązane z Niezależnym Dziennikiem Politycznym. Niektóre z nich wyglądały na zautomatyzowane. Konto Wojciech Brozek udostępniło ten sam tekst na trzech różnych grupach w ciągu jednej minuty. Co istotne, konta związane z NDP były pierwszymi, które udostępniały te artykuły na Facebooku.

Adam Kamiński wstawił natomiast tekst z Lewy.pl m.in. do grupy "PKD – Polityczny Klub Dyskusyjny", która jest założona i prowadzona przez profil Niezależnego Dziennika Politycznego. To kolejny trop łączący atak na stronę ASzWoj z NDP.

– Wszystko wskazuje na to, że Adam Kamiński i Wojciech Brozek nie istnieją – komentuje Anna Gielewska. – Pisali o tym wielokrotnie dziennikarze w Polsce, ujawniając, że konta te posługują się skradzionymi z sieci zdjęciami. To typowe dla fejkowych postaci i kont. Jedyne ślady, które można po nich znaleźć w sieci, prowadzą na inne strony z wątpliwymi treściami. Cała ta konstrukcja nie jest więc przypadkowa – wyjaśnia.

Badacze z Internet Observatory ustalili, że zanim administratorzy trzech polskich portali - Prawy.pl, Lewy.pl i Ono24.info - zdążyli się zorientować o ataku i usunąć teksty ze swoich witryn, zyskały one ponad 8,5 tys. polubień, komentarzy i udostępnień na Facebooku. Ich zniknięcie z polskojęzycznej sieci nie oznaczało jednak, że nie istniały na zagranicznych stronach.

22 kwietnia angielskojęzyczny portal The Duran opublikował tekst zatytułowany "Polski generał zachęca polskich żołnierzy do walki z amerykańską okupacją". Portal ten był wielokrotnie oskarżany w międzynarodowych mediach, np. w "The Washington Post", o realizowanie celów rosyjskiej polityki informacyjnej. W przeciwieństwie do polskojęzycznych tekstów, ten artykuł nadal jest dostępny.

Podpisany pod tekstem Rod Renny wcześniej był autorem materiałów w The Duran zawierających nieprawdziwe informacje i uderzających w polską armię. Analitycy z Uniwersytetu Stanforda stawiają dwie tezy: albo stojąca za tym nazwiskiem osoba jest czujnym obserwatorem sieci, który natrafił na polski tekst o liście rektora AszWoj i przetłumaczył go dla The Duran, albo Rod Renny jest kolejnym elementem skoordynowanej akcji, dzięki której nieprawdziwe treści trafiły do potencjalnych odbiorców poza Polską.

– Wiele wskazuje na to, że to kolejna fejkowa postać zaangażowana w te operacje, a jej zadaniem było przeniesienie tekstu z polskojęzycznej do anglojęzycznej sieci – komentuje Anna Gielewska.

Anna Gielewska pytana, czy schemat rozpowszechniania nieprawdziwych treści opisany w raporcie jest typowy, czy zawiera jakieś innowacje, odpowiada: – Ostatnio widzimy serię takich incydentów. Te mechanizmy są typowe. W tym przypadku ciekawa była konstrukcja artykułu, która pomogła osiągnąć jeden z celów: rozpowszechnienie treści wśród spolaryzowanych grup na polskich Facebooku.

- Udało się to osiągnąć za pomocą przemyślanego tytułu, który skupiał się na krytyce PiS-u - tłumaczy Gielewska (przypomnijmy: "Skandaliczny list rektora Akademii Sztuki Wojennej: Politycy PiS prowadzą nas do katastrofy"). - Mimo że nie było to główne przesłanie sfałszowanego listu. Była nim krytyka sojuszu z Amerykanami, która niekoniecznie odpowiada liberalnym czy lewicowym użytkownikom sieci. Jeśli nie weszli oni jednak w treść, mogli udostępniać artykuł ze względu na odpowiadający ich poglądom tytuł. Dla internautów o skrajnie prawicowych poglądach atrakcyjna mogła być z kolei sama treść listu – mówi.

Raport Internet Observatory przypomina, że podobne schematy obserwowano już wcześniej w działaniach kojarzonych z rosyjskim wywiadem wojskowym GRU czy w ataku na stronę Międzynarodowej Agencji Antydopingowej.

Na pytanie, jaki był cel hakerskiej operacji wymierzonej w AszWoj, Anna Gielewska odpowiada, że obecnie nie da się tego określić. – Może to być przygotowanie do jakiejś szerszej akcji w przyszłości, a może to być działanie testowe, w którym chodzi o sprawdzenie reakcji instytucji, w tym przypadku polskich władz, czy reakcji w sieci - przypuszcza. - Niewykluczone, że tekst, który trafił do anglojęzycznej sieci, może być wykorzystywany do działań dezinformacyjnych w USA, na przykład udostępniany w zamkniętych grupach, by podważać zasadność obecności amerykańskich żołnierzy w Europie – dodaje.

Choć cel ataku nie jest znany, można ocenić rolę, jaką odegrał Facebook. Autorzy raportu piszą wprost, że bez kont powiązanych m.in. z Niezależnym Dziennikiem Politycznym artykuły w polskich serwisach trafiłyby do dużo mniejszej grupy niż wyniosło audytorium pozyskane za pomocą udostępnień na Facebooku.

Brak zdecydowanych działań ze strony Facebooka jest niezrozumiały dla Anny Gielewskiej. – O Niezależnym Dzienniku Politycznym wiemy i piszemy w Polsce już od 2017 roku. Podawano wiele oczywistych przykładów na to, że publikowane są tam fałszywe informacje, a autorzy nie istnieją. Mamy rok 2020 i konto NDP na Facebooku wciąż istnieje. To pokazuje, jak nierówna jest ta walka – dodaje Gielewska.

"O ile coś się nie zmieni, jest prawie pewne, że Facebook będzie ponownie używany w ten sposób" – brzmi ostatnie zdanie raportu Internet Obserwatory.

Zhakowana strona Akademii Sztuki Wojennej do dziś nie wznowiła działania pod adresem akademia.mil.pl.Uczelnia korzysta obecnie z adresu wojsko-polskie.pl/aszwoj, do którego przekierowuje również stary adres.

Wojsko-polskie.pl to oficjalna witryna Sił Zbrojnych RP, jednak Akademia Sztuki Wojennej jest jedyną polską uczelnią wojskową, która przeniosła się pod tę domenę. Inne, np. Wojskowa Akademia Techniczna czy Akademia Marynarki Wojennej, nadal mają własne strony.

Autor: Michał Istel / Źródło: Konkret24, Internet Observatory; zdjęcie: Shutterstock