Mandiant: Праўладныя хакеры, якіх доўга звязвалі з Расіяй, працуюць у Мінску

Грамадства

Даследчыкі кампаніі Mandiant заявілі, што сляды масіўнай кібераперацыі Ghostwriter па ўзломах і распаўсюджванні дэзінфармацыі ў розных краінах вядуць у Мінск, паведамляе dev.by.

7_9_21_5.jpg

Пра хакерскую групоўку UNC1151, якая стаіць за ёй, яны распавялі ў свежым дакладзе і парталу Wired.

Кампанія доўжыцца мінімум чатыры гады на прасторах Усходняй Еўропы і краін Балтыі. З-за характэрных тактык і метадаў, а таксама антынатаўскага і антыамерыканскага характару артыкулаў, якія распаўсюджваюцца, яе прыпісвалі Крамлю.

Аднак эксперты Mandiant знайшлі мінскі след — па-першае, ёсць тэхнічныя сведчанні гэтага, а па-другое, такія высновы супадаюць з высновамі іншых даследчыкаў.

У Mandiant увагу на кампанію Ghostwriter звярнулі ў ліпені 2020 года. Тады групоўка ў асноўным публікавала фэйкавыя навіны і нават узломвала навінавыя сайты, на якіх выкладвала фэйкавыя матэрыялы.

У 2021-м даследчыкі заўважылі, што поле дзейнасці хакераў шырэйшае: яны кампраметуюць уліковыя запісы чыноўнікаў у сацсетках для распаўсюджвання дэзынфармацыі, а таксама ўзломваюць палітыкаў і зліваюць скрадзеную інфармацыю.

Па словах даследнікаў, групоўка ставіла за мэту падарваць ролю НАТА ва Усходняй Еўропе і імкнулася распаліць палітычную варожасць або нестабільнасць у Польшчы, Украіне, Літве, Латвіі і Германіі.

Даследнікі кажуць, што фокус кампаніі Ghostwriter змяніўся на працягу лета і пасля прэзідэнцкіх выбараў 2020 года — калі іх не прызналі ЗША, а многія краіны-суседкі падтрымалі апазіцыю. У парадку дня стала больш беларускіх тэмаў, узмацнілася накіраванасць супраць беларускіх дысідэнтаў, СМІ, журналістаў.

Пазней у Mandiant выявілі тэхнічныя дэталі, якія паказвалі на тое, што выканаўцы ў Мінску.

Са спецыялістамі кампаніі салідарная Група аналізу пагроз Google: тут выданню сказалі, што вынікі расследавання Mandiant стасуюцца з іх уласнымі назіраннямі.

З часу выбараў у Mandiant выявілі 19 аперацый Ghostwriter па распаўсюджванні дыскрэдытуючых наратываў, з іх 16 выстаўлялі ў негатыўным святле ўрада Літвы і Польшчы, дзве абвальваліся з крытыкай на НАТА і адна — на ЕС.

У адной са жнівеньскіх кампаній, нацэленых на Літву і Польшчу, прасоўвалася фэйкавая гісторыя пра злачынствы, учыненыя мігрантамі, — дзве краіны тым часам абвінавачвалі Беларусь у дастаўцы мігрантаў да мяжы.

У рамках іншых нядаўніх аперацый была запушчана інфармацыя аб аварыях, якія нібыта адбыліся на атамнай электрастанцыі ў Літве, што супраціўлялася будаўніцтву Астравецкай АЭС блізу сваіх тэрыторый. Укіды пазней падхапіла тэлебачанне.

У Mandiant прымецілі, што кампанія Ghostwriter не закранае Эстонію — адзіную балтыйскую краіну, якая не мяжуе з Беларуссю.

Незалежны кіберспецыяліст Лукаш Алейнік сцвярджае, што актыўнасць хакераў, асабліва аперацыі па ўзломе палітыкаў і злівах інфармацыі, была найбольш інтэнсіўнай у Польшчы. Ён называе Ghostwriter “найбуйнейшай кібераперацыяй з палітычнай або ваеннай падаплёкай супраць усходняй часткі Еўрапейскага Саюза".

У Mandiant кажуць, што з тэхнічнага пункту гледжання кампанія Ghostwriter не адрозніваецца асаблівай складанасцю, але пры гэтым групоўка цалкам незалежная і інфраструктурна не звязаная з іншымі групоўкамі, якія вядомыя кампаніі. Хакеры выкарыстоўваюць уласнае шкоднаснае ПЗ, а не агульнадаступныя інструменты, а таксама маюць уласную воблачную інфраструктуру.

З улікам палітычнага саюза паміж Беларуссю і Расіяй даследчыкі не выключаюць, што апошняя таксама можа быць звязаная з кіберкампаніяй. Тым не менш, цяпер прамых доказаў гэтага ў іх няма.