Den hviderussiske regering er blevet beskyldt for i det mindste “delansvar” for Ghostwriter-angreb i Europa.
Mens cybersikkerhedsvirksomheder ofte tager fejl på siden af forsigtighed, når det kommer til tilskrivning af trusselsgrupper, siger Mandiant, at de har “høj tillid” til, at Ghostwriter, også forbundet med UNC115-aktiviteter, er et cyberkriminelt tøj, der potentielt arbejder på vegne af landets regering .
Sanktioner blev pålagt Hviderusland tidligere på året efter den tvungne omdirigering af et kommercielt fly til Hviderusland for at arrestere en passager, en dissident-journalist ved navn Roman Protasevich. Nu er landets præsident Alexander Lukasjenko som gengældelse blevet anklaget for at lave en migrantkrise for at destabilisere EU.
Det ser dog ud til, at gengældelsen kan gå længere, med tilskrivningen af Ghostwriter til den regerende regering.
Det Europæiske Råd har tidligere anklaget Rusland for at være involveret i Ghostwriter.
Ifølge cybersikkerhedsforskerne kan russisk indblanding ikke “udelukkes”, men andre indikatorer tyder på, at hviderussiske interesser er kernen i operationen, hvor offentlige og private enheder i Ukraine, Litauen, Letland, Polen og Tyskland almindeligvis er målrettet.
Derudover har Ghostwriter også været involveret i angreb mod hviderussiske dissidenter, medier og individuelle journalister.
UNC1151 – aktiv siden 2016 – og Ghostwriter har engang fokuseret på at promovere anti-NATO-materiale gennem phishing, spoofing og kapring af sårbare websteder. Men fra 2020 udvidede grupperne deres aktiviteter i forsøg på at påvirke polsk politik og stjæle følsomme oplysninger via legitimationstyveri.
UNC1151 var også rettet mod hviderussiske medier og oppositionsmedlemmer forud for valget i 2020, en omstridt jordskredssejr. Der er ikke registreret angreb mod russiske eller hviderussiske statsenheder.
“Derudover blev personer, der var målrettet af UNC1151 før det hviderussiske valg i 2020, i flere tilfælde senere arresteret af den hviderussiske regering,” siger Mandiant.
Mange af Ghostwriters kampagner er fokuseret på fortællinger, der er anti-NATO. Siden midten af 2020 har gruppen spredt indhold, der beskylder NATO for korruption, militæret for at sprede COVID-19 og for korruption i litauisk og polsk politik. EU er også blevet kritiseret i de seneste kampagner.
“Ghostwriter-fortællinger, især dem, der er kritiske over for naboregeringer, er blevet præsenteret på hviderussisk stats-tv som kendsgerning,” tilføjede forskerne. “Vi er ikke i stand til at fastslå, om dette er en del af en koordineret strategi, eller om det blot er hviderussisk stats-tv, der promoverer fortællinger, der er i overensstemmelse med regimets interesser og er ligeglade med nøjagtighed.”
Tidligere og relateret dækning
FireEye's Mandiant debuterer ny SaaS-trusselsintelligenssuite
Ingen ære blandt tyvene: Et ud af fem mål for FIN12-hackinggruppen er i sundhedsvæsenet
T-Mobiles administrerende direktør undskylder for massivt hack, annoncerer cybersikkerhedsaftale med Mandiant
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre