Zespół hakerów oznaczonych jako UNC1151, powiązany z cyberoperacją Ghostwriter, w ramach której m.in. publikowane są maile polskich polityków, ma powiązania z białoruskim reżimem – oceniła we wtorek amerykańska firma zajmująca się cyberbezpieczeństwem Mandiant. Nie wyklucza ona również udziału rosyjskich hakerów.
Amerykańska firma zajmująca się cyberbezpieczeństwem poinformowała o swoich ustaleniach w wydanym we wtorek komunikacie oraz podczas konferencji Cyberwarcon. „Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki” – napisano w komunikacie firmy. Eksperci ocenili również, że sama kampania informacyjno-szpiegowska Ghostwriter jest dziełem co najmniej częściowo białoruskiego reżimu.
„Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. Obecnie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu” – napisano.
Cyberoperacja Ghostwriter ma źródło na Białorusi
Mandiant był pierwszym ośrodkiem, który zidentyfikował trwającą co najmniej od 2016 r. cyberoperację, która pierwotnie była powszechnie uznawana za dzieło rosyjskich służb. Na udział Rosji wskazywał też we wrześniowym oświadczeniu szef unijnej dyplomacji Josep Borrell.
Według Mandianta, zarówno techniczne dane, jak i cele działań UNC1151, silnie wskazują na udział Mińska. Firma notuje, że operacja – pierwotnie skierowana przeciwko obecności żołnierzy NATO w krajach wschodniej flanki – zmieniła swój charakter, obierając za cel głównie władze i społeczeństwa sąsiadów Białorusi, a także – w okresie wokół zeszłorocznych wyborów prezydenckich na Białorusi – w białoruską opozycję.
„Operacje w ramach Ghostwriter promowały narracje skupiające się na oskarżeniach o korupcję lub skandalach wewnątrz partii rządzących na Litwie i w Polsce, próbach wywołania napięć w relacjach polsko-litewskich i dyskredytowania białoruskiej opozycji” – napisano.
Część działań hakerów dotyczyła również kontrowersji związanych z budowaną przez Białoruś elektrownią atomową w Ostrowcu przy granicy z Litwą, zaś w ostatnim czasie – m.in. rozsiewania fałszywych informacji na temat przestępstw dokonywanych przez migrantów. Informacje rozprzestrzeniane w ramach operacji były potem wykorzystywane przez białoruską telewizję państwową.
Według firmy początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 r., a cyberszpiegowskiej – 2017. Kampania zyskała swoją nazwę z racji początkowych taktyk hakerów, którzy włamywali się do systemów lokalnych portali i umieszczali w nich fałszywe informacje wymierzone głównie w obecność wojsk NATO.
Maile Dworczyka: kulminacja ataku UNC1151
Od tego czasu operacja rozszerzyła swój zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była trwająca do dziś publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.
Raport wyszczególnia, że celem hakerów był „szeroki wachlarz podmiotów z sektora publicznego i prywatnego ze wskazaniem na Ukrainę, Litwę, Łotwę, Polskę i Niemcy”. Podkreślono, że elementem działania było rejestrowanie domen internetowych „udających” faktycznie istniejące adresy stron WWW, mające na celu wyłudzanie danych dostępowych.
„Poza większymi amerykańskimi przedsiębiorstwami (Facebook, Google, Twitter), większość podrabianych organizacji znajdowało się w pięciu krajach wymienionych powyżej. Lista ta obejmuje regionalnych dostawców usług pocztowych, instytucje rządowe i samorządowe oraz prywatne firmy” – czytamy.
Elementem działania UNC1151 miałyby też być ataki szkodliwego oprogramowania. „Choć większość tej aktywności skierowana była przeciw Ukrainie, niektóre brały za cel Litwę i Polskę” – piszą eksperci.
Do sierpnia 2020 – krytycznie wobec NATO
Jak dodają eksperci, są liczne dodatkowe wątki, które wskazują na powiązanie z Białoruskimi służbami. Oprócz cech technicznych, które wskazywałyby na autorów w Mińsku, należą do nich także elementy ekonomiczne. Dane wykradzione przez Ghostwritera nie były nigdy oferowane na sprzedaż na rynku. Brak też powiązań metod z wcześniejszymi lub równoległymi atakami, co może wskazywać na nowe źródło operacji.
„22 z 24 operacji Ghostwritera zaobserwowanych przed połową 2020 roku promowało narracje, które były albo wprost krytyczne wobec NAT) – włącznie z zarzutami rozmieszczania broni jądrowej, rozsiewania koronawirusa przez żołnierzy lub zbrodni popełnionych przez żołnierzy NATO – albo w inny sposób krytyczna wobec obecności obcych żołnierzy w krajach sojuszników” – piszą autorzy raportu.
„Po spornych wyborach w sierpniu 2020 (na Białorusi – red.), ataki były bardziej zgodne z linią polityczną Mińska” – czytamy dalej. „Promowane narracje skupiały się na informowaniu o korupcji i skandalach w partiach rządzących na Litwie i w Polsce, próbowały wywołać napięcia w stosunkach polsko-litewskich i zdyskredytować białoruską opozycję” – napisano dalej.
Znadniemna.pl za PAP/polsatnews.pl
