Eksperci ds. cyberbezpieczeństwa: Za atakami na polskich polityków stoi prawdopodobnie Białoruś
pixabay.com/madartzgraphics
Zajmująca się cyberbezpieczeństwem firma Mandiant w opublikowanym dziś raporcie wskazuje, że za ostatnimi cyberatakami na polskich polityków stoi prawdopodobnie Białoruś. „Nie możemy wykluczyć rosyjskiego wkładu UNC1511 lub Ghostwriter. Jednak dotychczas nie odkryliśmy bezpośrednich dowodów na ten udział” – napisano.
We wstępie swojego raportu, Mandiant „z dużą pewnością ocenia, że [grupa] UNC1151 jest powiązana z rządem Białorusi. Ocena ta oparta jest na wskaźnikach technicznych i geograficznych” – czytamy w pierwszych zdaniach raportu.
Według ustaleń firmy, UNC1151 stanowi wsparcie techniczne dla kampanii Ghostwriter, za którą przynajmniej w części odpowiedzialna jest Białoruś. Nie wykluczony jest także wkład Rosji, jednak dotychczas nie udało się tego bezpośrednio udowodnić.
Mandiant wskazuje, że w kręgu zainteresowań UNC1511 są podmioty rządowe oraz prywatne na Ukrainie, Litwie, Łotwie, w Polsce oraz w Niemczech, a także dysydenci i niezależne media na Białorusi.
Ustalono, że operatorzy UNC1151 działają w Mińsku, a „oddzielne dowody techniczne potwierdzają związek między operatorami UNC1151 a białoruskim wojskiem”.
Firma zaobserwowała, że o ile przed 2020 r. działania Ghostwriter były nakierowane na kraje NATO, o tyle od połowy 2020 r. skupiały się na krajach sąsiadujących z Białorusią. W podejmowanych działaniach próbowano spowodować wewnętrzne niepokoje w tych krajach m.in. przez zarzucanie korupcji lub skandalu w sferach rządzących.
Pełna treść raportu dostępna jest tutaj: https://www.mandiant.com/resources/unc1151-linked-to-belarus-government
Według firmy początki dezinformacyjnej części operacji Ghostwriter sięgają co najmniej 2016 r., a cyberszpiegowskiej – 2017. Kampania zyskała swoją nazwę z racji początkowych taktyk hakerów, którzy włamywali się do systemów lokalnych portali i umieszczali w nich fałszywe informacje wymierzone głównie w obecność wojsk NATO. Od tego czasu operacja rozszerzyła swój zasięg o kradzież poufnych danych i włamania na konta polityków, czego kulminacją była trwająca do dziś publikacja domniemanych e-maili z prywatnej skrzynki szefa KPRM Michała Dworczyka.
