Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 28. februar 2022 | Emne: Sikkerhed
Computer-nødberedskabsteamet for Ukraine (CERT-UA) har advaret om igangværende phishing- og Ghostwriter-aktiviteter, der angriber organisationer i landet.
Den 26. februar sagde CERT-UA, at det fortsætter med at spore bevægelserne af UNC1151/Ghostwriter, som i øjeblikket angriber mål i Ukraine, Polen, Hviderusland og Rusland.
Ghostwriter menes at være af hviderussisk oprindelse. Ifølge sikkerhedsagenturet er dets medlemmer officerer fra Forsvarsministeriet i Republikken Belarus.
Cybersikkerhedsfirmaet Mandiant har sporet kampagner understøttet af UNC1151. Virksomheden siger især, at der ydes “teknisk support” til Ghostwriter-kampagner, og den hviderussiske regering er blevet beskyldt for i det mindste at være “delvis ansvarlig” for disse cyberangriberes aktiviteter.
Det Europæiske Råd har tidligere beskyldt Rusland for at have en rolle at spille i Ghostwriter-kampagner.
Ghostwriter siges at være på linje med Belarus stats interesser. Tidligere aktiviteter har omfattet promovering af anti-NATO-materiale gennem misinformationsnetværk, spoofing og kapring af websteder samt målretning af hviderussiske medier og enkeltpersoner forud for valget i 2020.
“Ghostwriter-fortællinger, især dem, der er kritiske over for naboregeringer, er blevet vist på hviderussisk stats-tv som kendsgerning,” siger Mandiant.
Ifølge CERT-UA er Ghostwriter-cyberangreb blevet registreret mod World Association of Belarusians, Belarusian Music Festival, litteratur- og kunstmagasinet Dziejaslou, den hviderussiske avis Sovetskaya Belorussiya, ansatte ved National Academy of Sciences of Belarus og avisen Voice of Motherland.
Derudover advarer bureauet om, at pas[.]command-email.online er et aktivt phishing-domæne, der bruges af trusselsgruppen.
CERT-UA har udgivet hyppige trusselsefterretninger siden starten på konflikten mellem Rusland og Ukraine. CERT-UA har også advaret om masse-phishing-e-mails, der sendes af UNC1151 til “ukrainsk militærpersonel og relaterede personer” ved hjælp af e-mail-konti med 'i.ua' og 'meta.ua'-adresser.
Et eksempel på phishing-meddelelse er nedenfor:
“Kære bruger! Dine kontaktoplysninger eller ej, du er en spambot. Klik venligst på linket nedenfor og bekræft dine kontaktoplysninger . Ellers vil din konto blive slettet uigenkaldeligt. Tak for din forståelse. Med venlig hilsen I.UA Team.”
Mandag rapporterede Ukraines Nationale Sikkerheds- og Forsvarsråd (NSDC/RNBO) også opkald og phishingforsøg for at få oplysninger fra mål ved at udgive sig for at være postkontoret for Ukraines sikkerhedstjeneste (SBU) ).
Cyberpolitiet i Ukraines nationale politi rapporterer, at der også sendes falske phishing-e-mails, der er maskeret som evakueringsmeddelelser.
I relaterede nyheder siger hacktivist-kollektivet Anonymous, at det er blevet involveret i konflikten og hævder, at det er ansvarligt for ødelæggelsen af russiske regerings hjemmesider og nedtagningen af det statslige nyhedsmedie RT. RT og andre statsfinansierede medieorganisationer er siden blevet forbudt at generere indtægter gennem annoncer fra Googles søge- og YouTube-enheder.
Den 28. februar så det ud til, at det russiske nyhedsmedie TASS led af et cyberangreb, og besøgende var midlertidigt ude af stand til at få adgang til hjemmesiden. Anonym, eller nogen, der hævder at være en del af kollektivet, påtog sig ansvaret.
Meta, tidligere kendt som Facebook, har begrænset adgangen til nogle konti, der ejes af russiske statslige medieorganisationer. Metas chef for sikkerhedspolitik Nathaniel Gleicher og direktør for Threat Disruption David Agranovich sagde den 27. februar, at et netværk drevet af folk i Rusland – og Ukraine – var rettet mod Ukraine med falske nyheder og propaganda.
Ifølge firmaet har Ghostwriter også været “øget målretning” af det ukrainske militær og offentlige personer.
Tidligere og relateret dækning
Ukraine opfordrer frivillige hackere til at beskytte kritisk infrastruktur
Store teleselskaber, herunder o2, Orange, Vodafone giver afkald på gebyrer for Ukraine-opkald, data
Flight-tracker Flightradar24-styrt forårsaget af 'international interesse' i Ukraine, Rusland konflikt
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre