„Pragnąc uspokoić CERT oraz inne instytucje rządowe, uprzejmie informuję, że nie był to state sponsored attack. Więc nie były to chinole i ich APT1 :) Rok temu się nie udało, tym razem KPRM zdobyty (inne ministerstwa też się załapały na niezamówiony test penetracyjny)” – napisał na portalu Niebezpiecznik.pl domniemany sprawca ataku przedstawiający się jako Alladyn2. Zapewnił przy tym, że „żadne wrażliwe dane nie opuściły sieci rządowych”.

Włamywacz twierdzi, że choć udało mu się uzyskać hasła i dostęp do kont najważniejszych osób w państwie (nie tylko szefa KPRM Tomasza Arabskiego, ale i samego premiera oraz ministra spraw zagranicznych), nie wykradł żadnych danych, a atak miał na celu sprawdzenie zabezpieczeń rządowego systemu. Alladyn2 miał też zostawić administratorom sieci listę porad – jak lepiej chronić się przed włamaniami.

Dostęp do sieci uzyskał przez włamanie się na konto Arabskiego i rozesłanie z niego wiadomości z załącznikiem zainfekowanym wirusem. Pracownicy KPRM i ministerstw otworzyli wiadomość i załącznik, mógł więc przejąć kontrolę nad kontami wszystkich urzędników. Jako dowód upublicznił zrzuty ze skrzynki e-mailowej Arabskiego oraz ministra Radosława Sikorskiego.

O tym, że rządowa e-infrastruktura nie jest najlepiej zabezpieczona, można się było przekonać już rok temu podczas ataków Anonymus w czasie protestów przeciwko ACTA. Okazało się wtedy, że login i hasło do serwisu Kancelarii Prezesa Rady Ministrów brzmiały „admin” i „admin1”.