Den hviterussiske regjeringen har blitt anklaget for i det minste “delansvar” for Ghostwriter-angrep i Europa.
Mens cybersikkerhetsselskaper ofte feiler på siden av forsiktighet når det gjelder tildeling av trusselgrupper, sier Mandiant at de har “høy tillit” til at Ghostwriter, også knyttet til UNC115-aktiviteter, er et nettkriminelt utstyr som potensielt jobber på vegne av landets regjering .
Sanksjoner ble innført mot Hviterussland tidligere i år etter tvungen avledning av et kommersielt fly inn i Hviterusslands luftrom for å arrestere en passasjer, en dissidentjournalist kalt Roman Protasevich. Nå, som gjengjeldelse, har landets president Alexander Lukasjenko blitt anklaget for å ha utviklet en migrantkrise for å destabilisere EU.
Det ser imidlertid ut til at gjengjeldelse kan gå lenger, med at Ghostwriter tilskrives den regjerende regjeringen.
Det europeiske råd har tidligere anklaget Russland for Ghostwriter-engasjement.
I følge cybersikkerhetsforskerne kan russisk innblanding ikke «utelukkes», men andre indikatorer tyder på at hviterussiske interesser er i hjertet av operasjonen, der myndigheter og privat sektor i Ukraina, Litauen, Latvia, Polen og Tyskland vanligvis er målrettet.
I tillegg har Ghostwriter også vært involvert i angrep mot hviterussiske dissidenter, media og individuelle journalister.
UNC1151 – aktiv siden 2016 – og Ghostwriter fokuserte en gang på å promotere anti-NATO-materiale gjennom phishing, spoofing og kapring av sårbare nettsteder. Fra 2020 utvidet imidlertid gruppene sine operasjoner i forsøk på å påvirke polsk politikk og å stjele sensitiv informasjon via legitimasjonstyveri.
UNC1151 målrettet også hviterussiske medier og opposisjonsmedlemmer foran valget i 2020, en omstridt jordskredseier. Det er ikke registrert noen angrep mot russiske eller hviterussiske statlige enheter.
“I tillegg, i flere tilfeller ble individer målrettet av UNC1151 før det hviterussiske valget i 2020 senere arrestert av den hviterussiske regjeringen,” sier Mandiant.
Mange av Ghostwriters kampanjer er fokusert på narrativer som er anti-NATO. Siden midten av 2020 har gruppen spredt innhold som anklager NATO for korrupsjon, militæret for å spre COVID-19 og for korrupsjon i litauisk og polsk politikk. EU har også blitt kritisert i de siste kampanjene.
“Ghostwriter-narrativer, spesielt de som er kritiske til naboregjeringer, har blitt omtalt på hviterussisk statlig fjernsyn som et faktum,” la forskerne til. “Vi er ikke i stand til å fastslå om dette er en del av en koordinert strategi eller om det rett og slett er hviterussisk stats-TV som fremmer fortellinger som er i samsvar med regimets interesser og som ikke er opptatt av nøyaktighet.”
Tidligere og relatert dekning
FireEye's Mandiant debuterer ny SaaS trusselintelligenssuite
Ingen ære blant tyvene: Ett av fem mål for FIN12-hackinggruppen er i helsevesenet
T-Mobile-sjefen beklager for massivt hack, kunngjør cybersikkerhetsavtale med Mandiant
Har du et tips? Ta kontakt på en sikker måte via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre