Den vitryska regeringen har anklagats för åtminstone “delansvar” för Ghostwriter-attacker i Europa.
Även om cybersäkerhetsföretag ofta är försiktiga när det gäller att tillskriva hotgrupper, säger Mandiant att de har “högt förtroende” för att Ghostwriter, även kopplat till UNC115-aktiviteter, är en cyberkriminell utrustning som potentiellt arbetar på uppdrag av landets regering .
Sanktioner infördes mot Vitryssland tidigare i år efter den påtvingade omdirigeringen av ett kommersiellt plan till Vitrysslands luftrum för att arrestera en passagerare, en oliktänkande journalist som heter Roman Protasevich. Nu, som vedergällning, har landets president Alexander Lukasjenko anklagats för att ha skapat en migrantkris för att destabilisera EU.
Det verkar dock som att vedergällningen kan gå längre, med tillskrivningen av Ghostwriter till den styrande regeringen.
Europeiska rådet har tidigare anklagat Ryssland för inblandning i Ghostwriter.
Enligt cybersäkerhetsforskarna kan rysk inblandning inte “uteslutas”, men andra indikatorer tyder på att vitryska intressen står i centrum för operationen, där statliga och privata enheter i Ukraina, Litauen, Lettland, Polen och Tyskland är vanliga. målinriktad.
Dessutom har Ghostwriter också varit inblandad i attacker mot vitryska dissidenter, media och enskilda journalister.
UNC1151 – aktiv sedan 2016 – och Ghostwriter fokuserade en gång på att främja anti-NATO-material genom nätfiske, spoofing och kapning av sårbara webbplatser. Men från 2020 utökade grupperna sin verksamhet i försök att påverka polsk politik och att stjäla känslig information via legitimationsstöld.
UNC1151 riktade sig också mot vitryska medier och oppositionsmedlemmar inför valet 2020, en omtvistad jordskredsseger. Inga attacker har registrerats mot ryska eller vitryska statliga enheter.
“Dessutom, i flera fall, arresterades senare personer som UNC1151 riktade sig till före det vitryska valet 2020 av den vitryska regeringen,” säger Mandiant.
Många av Ghostwriters kampanjer är fokuserade på berättelser som är anti-NATO. Sedan mitten av 2020 har gruppen spridit innehåll som anklagar Nato för korruption, militären för att sprida covid-19 och för korruption i litauisk och polsk politik. EU har också kritiserats i de senaste kampanjerna.
“Spökskrivarberättelser, särskilt de som är kritiska mot grannregeringar, har presenterats på vitryska statliga televisionen som ett faktum,” tillade forskarna. “Vi kan inte avgöra om detta är en del av en samordnad strategi eller om det helt enkelt är vitryska statlig TV som främjar berättelser som är förenliga med regimens intresse och som inte bryr sig om exakthet.”
Tidigare och relaterad bevakning
FireEye's Mandiant debuterar ny SaaS-hotspaningssvit
Ingen ära bland tjuvar: En av fem måltavlor för FIN12-hackinggruppen är inom sjukvården
T-Mobiles VD ber om ursäkt för massivt hack, tillkännager cybersäkerhetsavtal med Mandiant
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter