De Wit-Russische regering is beschuldigd van op zijn minst “gedeeltelijke verantwoordelijkheid” voor Ghostwriter-aanvallen in Europa.
Hoewel cyberbeveiligingsbedrijven vaak voorzichtig zijn als het gaat om het toewijzen van bedreigingsgroepen, zegt Mandiant dat het “veel vertrouwen” heeft dat Ghostwriter, ook gekoppeld aan UNC115-activiteiten, een cybercrimineel is dat mogelijk namens de regering van het land werkt .
Er zijn eerder dit jaar sancties tegen Wit-Rusland uitgevaardigd na de gedwongen omleiding van een commercieel vliegtuig naar het Wit-Russische luchtruim om een passagier te arresteren, een dissidente journalist genaamd Roman Protasevich. Nu is de president van het land, Alexander Loekasjenko, als vergelding beschuldigd van het construeren van een migrantencrisis om de EU te destabiliseren.
Het lijkt er echter op dat de vergelding verder kan gaan, met de toekenning van Ghostwriter aan de heersende regering.
De Europese Raad heeft Rusland eerder beschuldigd van betrokkenheid bij Ghostwriters.
Volgens de cybersecurity-onderzoekers kan Russische inmenging niet worden “uitgesloten”, maar andere indicatoren suggereren dat Wit-Russische belangen de kern vormen van de operatie, waarbij overheids- en particuliere entiteiten in Oekraïne, Litouwen, Letland, Polen en Duitsland vaak betrokken zijn. gericht.
Bovendien is Ghostwriter ook betrokken geweest bij aanvallen op Wit-Russische dissidenten, media en individuele journalisten.
UNC1151 — actief sinds 2016 — en Ghostwriter richtten zich ooit op het promoten van anti-NAVO-materiaal door middel van phishing, spoofing en het kapen van kwetsbare websites. Vanaf 2020 breidden de groepen hun activiteiten echter uit in pogingen om de Poolse politiek te beïnvloeden en om gevoelige informatie te stelen via diefstal van gegevens.
UNC1151 richtte zich ook op Wit-Russische media en oppositieleden in de aanloop naar de verkiezingen van 2020, een omstreden overwinning. Er zijn geen aanvallen geregistreerd tegen Russische of Wit-Russische staatsentiteiten.
“Bovendien werden in verschillende gevallen personen die het doelwit waren van UNC1151 vóór de Wit-Russische verkiezingen van 2020 later gearresteerd door de Wit-Russische regering”, zegt Mandiant.
Veel van Ghostwriters campagnes zijn gericht op verhalen die anti-NAVO zijn. Sinds medio 2020 verspreidt de groep inhoud waarin de NAVO wordt beschuldigd van corruptie, het leger van het verspreiden van COVID-19 en van corruptie in de Litouwse en Poolse politiek. De EU is ook bekritiseerd in recente campagnes.
“Spookschrijversverhalen, met name die welke kritisch zijn over naburige regeringen, zijn als feit op de Wit-Russische staatstelevisie getoond”, voegde de onderzoekers eraan toe. “We zijn niet in staat om vast te stellen of dit onderdeel is van een gecoördineerde strategie of dat het gewoon de Wit-Russische staatstelevisie is die verhalen promoot die in overeenstemming zijn met de interesse van het regime en niet betrokken is bij nauwkeurigheid.”
Eerdere en gerelateerde berichtgeving
FireEye's Mandiant introduceert nieuwe SaaS-dreigingsinformatiesuite
Geen eer onder dieven: een op de vijf doelwitten van FIN12-hackgroep bevindt zich in de gezondheidszorg
CEO van T-Mobile verontschuldigt zich voor massale hack, kondigt cybersecurity-deal aan met Mandiant
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters