Według dziennika, cyberprzestępcom udało się pozyskać login i hasło do skrzynki Dworczyka na wp.pl poprzez oszustwo phishingu - infekując pocztę ministra fałszywym oprogramowaniem, które "otworzyło" dostęp do komputera.

Pierwsza udana próba, jak ustaliła "Rzeczpospolita", miała miejsce 22 września ubiegłego roku, potem takich wejść było co najmniej kilka. "Jak ustaliliśmy, wejście na konto FB żony ministra, od którego zaczęła się »afera mailowa«, było już tylko tego efektem, a nie kanałem, którym hakerzy dotarli do ministra. Dworczyk nie wiedział, że jego maile są cały czas czytane, bo nie było złamania loginu i hasła – hakerzy uzyskali bowiem poprawne dane, jakich używał minister. To dlatego przez wiele miesięcy nikt nie wiedział o ataku, a holding wp.pl zaprzeczał, by doszło do włamania – takiego incydentu nie odnotowano. Sprawa wyszła na jaw, dopiero kiedy ukradzione materiały zaczęły być publikowane. Ukradzione Dworczykowi maile z prywatnej poczty są publikowane od 8 czerwca na rosyjskim komunikatorze Telegram" – czytamy w "Rz".

Według gazety, ABW i SKW ustaliły, że wejść hakerów do poczty Dworczyka było kilka. Poprzez fałszywe oprogramowanie próbowano wejść także do e-dziennika córki ministra. "Według służb sprawa Dworczyka, podobnie jak wcześniejsze ataki na konta posłów PiS, m.in. Arkadiusza Czartoryskiego czy Joanny Borowiak, miały miejsce w tym samym czasie i dokonała tego ta sama grupa cyberszpiegów – UNC1151 w ramach operacji »Ghostwriter«, której celem jest destabilizacja sytuacji politycznej w krajach Europy Środkowej. Rzeczywiście, zdaniem ekspertów od cyberprzestępczości, »Ghostwriter« działa w »interesie Rosji«, ale dotychczas nikt nie pokusił się o konkretne nazwiska osób, które za tym stoją. Zdaniem naszych rozmówców, którzy znają kulisy sprawy Dworczyka, służby mają już konkretne ustalenia – i dlatego nie obawiają się sformułowań, że grupa o nazwie UNC1151 jest »powiązana ze służbami specjalnymi Rosji«" – podaje "Rz".

Jak zaznaczono, poczta Dworczyka zawierała setki maili. Dotychczas ujawniono kilka. "Część z nich jest publikowana w sprokurowanych formach, np. doklejane są osoby, które miały być w grupie korespondencyjnej, lub dopisywane są akapity. Kancelaria Premiera i sam Dworczyk nie komentują tych informacji. Czy PiS boi się, co było na prywatnej poczcie szefa KPRM, a co może jeszcze wypłynąć? – Było tam wiele informacji o Rosji. Omawiano np. szczegóły wystąpień, stanowisk rządu – mówi nasze źródło" – podają dziennikarze gazety.

Zwracają też uwagą, że cyberprzestępcy nie złamali dostępu do domeny gov.pl nikogo z ministrów, co jest dowodem na to, że są one dobrze chronione. "Oficjalnie KPRM tłumaczy fakt przesyłania służbowej korespondencji na prywatną okresem pandemii, która spowodowała, że wielu urzędników administracji publicznej pracowało z domu. To tylko pół prawdy – służbowe smartfony, laptopy i tablety mają bowiem możliwość pracy z serwerami gov.pl." – podkreślają.