Расследаванне: Хакерская група, якая атакавала Украіну, звязаная з беларускімі ўладамі. Аб'ектамі яе атак былі таксама шматлікія беларусы

Даследчыкі кібербяспекі выявілі прыкметы таго, што кампанія ўзлому і дэзынфармацыі Ghostwriter/UNC1151 арганізаваная хакерамі, звязанымі з беларускімі ўладамі. Некалькі дзён таму гэтую групу абвінавацілі ў маштабнай кібератацы на Украіну. 

18.01.2022 / 13:05

Краіны, дзе хакерская група была актыўнай. Гэта найперш краіны па перыметры Беларусі, але не Расія. У самой Беларусі аб'ектамі атак былі толькі незалежныя СМІ і дзеячы апазіцыі. Сярод аб'ектаў дзейнасці групоўкі была і Калумбія — краіна, што канфліктуе з Венесуэлай, кіраўніцтва якой мае цесныя адносіны з лукашэнкаўцамі.

На працягу апошніх чатырох гадоў хакерская і дэзынфармацыйная група, вядомая як Ghostwriter / UNC1151, атакавала краіны Усходняй Еўропы і Балтыі. Апошняе, у чым яе абвінавацілі — атака на ўрадавыя сайты і электронныя ўкраінскія сэрвісы. Раней усе думалі, што Ghostwriter — чарговая кампанія з Масквы, улічваючы метады групы, а таксама антынатаўскія і антыамерыканскія наратывы. Як аказалася, гэта не зусім так. Паводле амерыканскай фірмы Mandiant, якая займаецца кібербяспекай, хакеры з Ghostwriter / UNC1151 працуюць на беларускія ўлады.

Mandiant упершыню прааналізавала дзейнасць Ghostwriter у ліпені 2020 года. У той час група займалася распаўсюджваннем фэйкавых навін і нават узломам рэальных навінавых сайтаў для іх размяшчэння.

У красавіку 2021 года Mandiant прыйшла да высновы, што Ghostwriter вядзе больш шырокую дзейнасць, уключаючы ўзлом акаўнтаў чыноўнікаў у сацыяльных сетках для распаўсюджвання дэзынфармацыі. Група доўгі час была сканцэнтраваная на падрыве ролі НАТА ва Усходняй Еўропе і імкнулася распаліць нестабільнасць у Польшчы, Украіне, Літве, Латвіі і Германіі.

Амерыканскія спецыялісты па кібербяспецы ўбачылі, што хакеры з гэтай групы ўсё часцей пачалі вырашаць задачы, звязаныя з Беларуссю. Атакі на беларускіх дысідэнтаў, СМІ і журналістаў з боку Ghostwriter выглядаюць так, як быццам яны праводзяцца ў інтарэсах беларускіх уладаў. Хаця хакерская група спецыялізавалася на Усходняй Еўропе, яна ніколі не атакавала беларускія дзяржаўныя структуры, а вось журналістаў, дэмакратычных дысідэнтаў і актывістаў з Беларусі атакавала.

Сярод тых, хто ў першай палове 2021 года атрымаў папярэджанне ад Google: «Мы лічым, што хакеры, звязаныя з урадам, спрабуюць здабыць ваш пароль» — былі і два рэдактары «Нашай Нівы». 

Аднак іх паштовыя скрынкі на Gmail зламыснікі ўскрыць не змаглі.

«Мы фіксуем такія спробы вельмі рэдка», — гаварылася ў апавяшчэннях «Гугла» з рэкамендацыямі, як узмацніць абароненасць акаўнта.

У рамках сваіх аперацый хакеры падраблялі вэб-сайты, такія як Facebook, Google і Twitter, для крадзяжу ўліковых даных, а таксама сайты дзяржаўных устаноў у пяці краінах.

У Mandiant таксама знайшлі тэхнічныя доказы таго, што хакеры знаходзяцца ў Мінску, і што яны могуць быць звязаныя з беларускім войскам. 

Пасля прэзідэнцкіх выбараў 2020 года 16 з 19 дэзінфармацыйных аперацый Ghostwriter былі супраць Літвы і Польшчы, дзве былі супраць НАТА, а адна — супраць ЕС.

Некалькі разоў хакеры прасоўвалі фэйкі аб карупцыі і скандалах ва ўрадзе Літвы, Польшчы і НАТА. Іншыя кампаніі Ghostwriter прасоўвалі фэйкі пра тое, што беларускіх пратэстоўцаў каардынавалі заходнія краіны.

Здавалася б, антынатаўскія наратывы характэрныя не толькі для Беларусі, але і для Расіі. Аднак кампаніі хакераў былі накіраваныя ў першую чаргу супраць краін, якія мяжуюць з Беларуссю. Адметна, што Ghostwriter не засяродзіўся на Эстоніі — адзінай краіне Балтыі, якая не мяжуе з Беларуссю.

Сярод аб'ектаў дзейнасці групоўкі была і Калумбія — краіна, што канфліктуе з Венесуэлай, кіраўніцтва якой мае цесныя адносіны з лукашэнкаўцамі.

Таксама амерыканскія спецыялісты адзначаюць, што Ghostwriter часцей факусуецца на абаронных ведамствах, што можа казаць аб тым, што хакерская група займаецца ў першую чаргу ваеннай разведкай. Кампаніі былі накіраваныя, у тым ліку, супраць украінскіх і французскіх вайскоўцаў.

Атакі Ghostwriter не з’яўляюцца тэхнічна вельмі складанымі, кажуць даследчыкі, але група мае цалкам незалежную структуру, уласную інфраструктуру і выкарыстоўвае ўласныя шкоднасныя праграмы, а не агульнадаступныя інструменты. 

Хаця раней лічылася, што Ghostwriter гэта расійскія хакеры, а даследчыкі цяпер абвінавачваюць беларускія ўлады, у Mandiant лічаць, што гэтыя дзве версіі не супярэчаць адна адной. 

Паміж Беларуссю і Расіяй існуе палітычны саюз, і Расія ў некаторых момантах можа дапамагаць беларускім хакерам, асабліва ў пытаннях, якія маюць агульны інтарэс для афіцыйных Масквы і Мінска.

Адметна, што некалькі дзён таму ва ўкраінскай Радзе нацыянальнай бяспекі і абароны гэтую хакерскую групу абвінавацілі ў кібератацы на ўкраінскія ўрадавыя сайты і сэрвісы.

Чытайце таксама:

Кіеў: За кібератакай на Украіну стаяць хакеры, звязаныя з разведкай Беларусі

«Бойцеся і чакайце горшага». Хакеры атакавалі ўкраінскія ўрадавыя сайты і партал дзяржпаслуг «Дія»

Nashaniva.com