Social media

Afera mailowa. Raport ekspertów wskazuje na powiązania z Białorusią

Fot. Elti Meshau / Unsplash
Fot. Elti Meshau / Unsplash

UNC1151 realizowana przez grupę powiązaną najprawdopodobniej z rządem Białorusi i według wielu dowodów - z białoruskim wojskiem, to druga - obok kampanii Ghostwriter - operacja informacyjna, której celem są kraje graniczące z Białorusią, w tym Polska. Wycieki z rządowych skrzynek mailowych to część szerszej operacji informacyjnej prowadzonej przez tę grupę. 

Czym są operacje informacyjne UNC1151 i Ghostwriter?

Kraje, które stały się celem operacji Ghostwriter, w ostatnim czasie zerwały relacje dyplomatyczne z Mińskiem, skąd prowadzona jest ta kampania - zwracają uwagę eksperci w raporcie firmy Mandiant, do którego dotarł serwis CyberDefence24.pl.

Najczęściej atakowanymi w ramach kampanii UNC1151 podmiotami są ministerstwa obrony narodowej państw leżących w zakresie zainteresowania tej grupy, jednak w przypadku Polski oraz Litwy - cyberprzestępcy obrali za cel również inne podmioty. 

Informacje zdobyte przez Mandiant wskazują, że operacja UNC1151 realizowana jest z Mińska we współpracy z białoruskim wojskiem - grupa, która za nią odpowiada posługuje się złośliwym oprogramowaniem HIDDENVALUE i HALFSHELL. Jednostka ta nie korzysta z oprogramowania open source i innych narzędzi. Od 2017 roku, kiedy zespół Mandiant zaczął obserwować operację UNC1151, zdolności techniczne jej sprawców uległy rozwojowi i poprawie - twierdzą eksperci, którzy scharakteryzowali złośliwe oprogramowanie wykorzystywane w ramach UNC1151 jako przede wszystkim aplikacje .NET z podstawowymi funkcjami.

Operacje prowadzone przez grupę realizują cele zbieżne z polityką reżimu Łukaszenki - oceniają specjaliści. W raporcie firmy Mandiant, do którego dotarł serwis CyberDefence24.pl, oceniono, że po sfałszowanych przez Łukaszenkę wyborach w 2020 roku działania operacji UNC1151 zostały skierowane w szczególności przeciwko krajom, które stanęły w obronie demokratycznej opozycji na Białorusi - to m.in. Litwa i Polska. 

Operacje UNC1151 i Ghostwriter mają najpewniej tego samego sponsora - twierdzą w swoim opracowaniu eksperci, którzy podkreślają jednak, że nie dysponują danymi pozwalającymi określić pochodzenie wykorzystywanych w ramach obu kampanii treści.

Jaki jest wpływ Rosji?

Mandiant nie wyklucza, że w obie kampanie zaangażowana jest Rosja, jednak nie znaleziono wystarczającej liczby dowodów mogących z całą pewnością potwierdzić tę tezę, jak i dookreślić zakres ewentualnego zaangażowania. 

Większość celów realizowanych operacji jest zbieżna z celami rosyjskiej polityki, które uderzają w NATO i wiarygodność Sojuszu w państwach bałtyckich oraz w Polsce. Operacje skierowane przeciwko NATO, jednak koncentrują się na Łotwie i Litwie, które graniczą z Białorusią, a omijają Estonię, która również zalicza się do Bałtyków, jednak nie sąsiaduje bezpośrednio z Białorusią - co znów odsyła analityków do reżimu Łukaszenki.

Mandiant nie wyklucza jednak, że Rosja, posiadająca rozbudowane zdolności techniczne, udziela Białorusi wsparcia w realizacji obu kampanii. 

Dyskredytacja polskiego rządu, phishing w tle

Wykorzystywane w ramach operacji informacyjnej Ghostwriter narracje to krytyka rządów państw sąsiadujących z Białorusią. W przypadku Polski i Litwy, kraje te zostały oskarżone o próby wmieszania się w wewnętrzne sprawy reżimu. W sierpniu 2021 roku w ramach tej operacji informacyjnej na Litwie i w Polsce promowane były m.in. tezy o fałszywych przestępstwach popełnianych przez migrantów, o których dowóz na granicę oba kraje zaczęły wtedy oskarżać Łukaszenkę. 

Tezy tej operacji informacyjnej dyskredytujące polski rząd promowane były w białoruskiej państwowej telewizji. Przedstawiano tam m.in. materiały wyciekające rzekomo ze skrzynki szefa KPRM Michała Dworczyka - wycieki te to również rezultat kampanii typu „hack and leak” realizowanej w ramach operacji Ghostwriter w czerwcu tego roku - czytamy w raporcie.

Jeśli chodzi o operację Ghostwriter, źródło wykorzystywanych w niej treści, jak i złośliwego oprogramowania używanego do jej realizacji pozostaje niepewne. Specjaliści zwrócili jednak uwagę, że produkcja tak wielu treści w licznych językach (Ghostwriter to operacja realizowana po polsku, angielsku, litewsku, łotewsku, ukraińsku, niemiecku i po rosyjsku) wymaga zaawansowanych umiejętności i może wskazywać na zaangażowanie zewnętrznych organizacji i państw. 

Operacja UNC1151 opiera się z kolei na wykorzystaniu narzędzia GoPhish i działaniach z zakresu cyberszpiegostwa, jak i dalszej dystrybucji treści generowanych w ramach kampanii Ghostwriter. 

Odpowiedź Białorusi na „wtrącanie się w sprawy reżimu”?

Zdaniem Mandiant, operacje informacyjne, które nasiliły się po sierpniu 2020 roku mogą stanowić odpowiedź Mińska na to, co reżim Łukaszenki uważa za „wtrącanie się” w sprawy wewnętrzne Białorusi. 

Kampanie, których celem jest dyskredytacja rządów Litwy i Polski poprzez ujawnianie rzekomych informacji o skandalach korupcyjnych rządzących tam ugrupowań, próba skłócenia obu tych państw, które do tej pory współpracowały w zakresie reagowania na politykę Łukaszenki oraz dyskredytacja białoruskiej opozycji demokratycznej wpisują się w tę narrację - oceniają eksperci. 

Kto znalazł się na celowniku operacji UNC1151?

Według raportu, celem działań prowadzonych w ramach tej operacji jest szereg podmiotów prywatnych i rządowych nie tylko z Polski i Litwy, ale i innych państw - Ukrainy, Łotwy i Niemiec. Cyberprzestępcy działający w ramach kampanii UNC1151 za swój cel obrali demokratycznych białoruskich dysydentów, dziennikarzy i media, koncentrując się na wykradaniu poufnych informacji. 

Eksperci podkreślają, że nie znaleziono dowodów na próbę monetyzacji pozyskanych danych. 

Do cyberataków wykorzystywano domeny podszywające się pod znane firmy, takie jak Facebook, Google czy Twitter, a także złośliwe oprogramowanie pozwalające na uzyskanie nieautoryzowanego dostępu do komputerów (w szczególności podczas ataków na podmioty z Ukrainy, ale również na Litwie i w Polsce). 

Kampania phishingowa, której głównym celem była Polska, została zrealizowana w ramach UNC1151 w czerwcu 2019 roku. Wtedy to złośliwe maile trafiły również do podmiotów z Litwy, Łotwy, Ukrainy, Kolumbii, Irlandii i Szwajcarii. Łącznie nadano 33 złośliwe listy. 

„Ryzyko naruszenia polskiej suwerenności”

W rozmowie z serwisem CyberDefence24.pl niezależny badacz i konsultant cyberbezpieczeństwa, współpracujący w przeszłości z Międzynarodowym Komitetem Czerwonego Krzyża w Genewie dr Łukasz Olejnik ocenił, że „w obecnej sytuacji to wygląda bardzo poważnie, bo mamy do czynienia z analizami wskazującymi na ryzyko naruszenia polskiej suwerenności”.

Jego zdaniem „w kontekście wydarzeń na naszej polskiej granicy i ew. kwestii naruszenia suwerenności również tam, zaczyna być to problem wielkiej wagi i bardzo złożony” - dodał ekspert. 

W opinii Olejnika w raporcie firmy Mandiant nie powiedziano wszystkiego, uwagę zwraca jednak powiązanie realizowanych operacji z konkretnym miejscem (Mińsk). „Daje się zauważyć, że nie ujawniono wszystkich informacji, np. dowodów technicznych - wskazano jednak jasno, że istnieją” - powiedział badacz, który w rozmowie z naszym serwisem ocenił, że operacje te stanowią duże ryzyko i zagrożenie dla Polski.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

Komentarze (11)

  1. dropik

    wspaniale się wylania z tego obraz sposobu sprawowania wladzy przez ostatnie 6 lat. czyli najwazniejsze jak to co robimy wplynie na sondaże.

  2. Bujda na resorach

    Niezależnie od tego kto te dane posiada i je wykorzystuje to do wycieku doszło z winy użytkowników tj. partyjnych urzędników PiS. Informacje przekazywane przez Dworczyka i innych członków rządu, a nawet partyjnych notabli były co najmniej poufne i często tajne. Brak dementowania ze strony rządu powoduje, że są one wiarygodne. Co tu winić obcy wywiad jak poczta została podana na tacy przez brak zrozumienia podstawowych zasad bezpieczeństwa. A wystarczyłoby na WP dodać drugi stopień uwierzytelnienia czyli telefon. Na dodatek wychodzi, że rząd sam jest śledzony przez zespół ludzi Kamińskiego, którzy szukają czarnych owiec we własnym stadzie. Poprzez wewnątrz partyjne rozgrywki ucierpiało całe Państwo Polskie.

    1. Anonim

      W czasie rządów PO nic musiało wyciekać. Wystarczyło że Łukaszenka zażądał podania kont Białoruskiej opozycji i już nadgorliwi urzednicy PO mu takie dane dostarczyli. Efekt co najmniej jeden opozycjonista trafIł do wiezienia. A rząd PO dopiero po ujawnieniu tych informacji stwierdził że przecież nic sie nie stało bo aresztowany to przecież wróg Łukaszenki.

  3. vincent

    daje dolary przeciwko orzechom, że to robota BND, a nie żadnej Białorusi. Zresztą to powszechne przekonanie w służbach, ale o tym się nie mówi oficjalnie.

    1. Użytkownik

      jakieś dowody czy po prostu niemcy zue?

    2. Autor

      to jest bardzo proste - kasa z UE (tzw. plan odbudowy) - o to toczy się gra - kto będzie decydował na co (a w konsekwencji do czyjej kieszeni) pójdę te środki. Plan od początku był taki, żeby pieniądze w większości wróciły do Niemiec. No chyba nie myślicie, że ktoś za darmo rozdaje kasę :-)) Niemcy wracają do gry w Polsce co jest skutkiem zielonego światła od Amerykanów (rozmów binden-merkel na temat tego po czyjej stronie opowie się RFN - amerykańskiej czy chińskiej). Amerykanie nie odpuścili Polski (kasa ze zbrojeń jest ich), ale tu dali ustępstwo. A na wypadek jak pis się będzie stawiał uszykowali Hołownie (to jest ich człowiek). Obecny rząd polski niestety jest przeszkodą bo sam zamierza położyć łapę na tej ogromnej kasie. Dlatego powrót Tuska, dlatego wyciek maili, dlatego zaostrzenie ataków UE (z inspiracji Niemiec), aby zmienić władze. To jest wiedza powszechna w kręgach, które się tym zajmują. A opowiadanie (na początku) że stoją za tym Rosjanie, a teraz że Białoruś to jest oczywiście realizacja interesów polskich, a nie prawda o tym co rzeczywiście ma miejsce :-)

  4. Stefan

    Czy to daje do myślenia i cos z tego wynika? A przecież miało wpływ na ostatnie wybory amerykańskiego prezydenta. Z Iraku tez się pomylili, czy nie za dużo tych pomyłek? Rosjanin, który przekazywał informacje o Trumpie, aresztowany pod zarzutem okłamywania FBI. Analityk Igor Danczenko, który zbierał w roku 2016 niepotwierdzone - jak się okazało - informacje na temat domniemanych powiązań poprzedniego prezydenta USA Donalda Trumpa z Rosją, został w czwartek aresztowany. Jest oskarżony m.in. o okłamywanie FBI. "Obywatel Rosji, który był kluczowym źródłem informacji, wykorzystanych w dossier zarzutów z 2016 roku, dotyczących rzekomych powiązań byłego prezydenta Donalda Trumpa z Rosją, został aresztowany i postawiony w stan oskarżenia za rzekome okłamywanie FBI. (…) Stanął w obliczu pięciu zarzutów o składanie fałszywych zeznań" – podało amerykańskie radio publiczne NPR.

    1. myśliciel

      Wniosek z tego taki , że właściciele Facebooka, Twittera i Google to współpracownicy Putina .

  5. rob ercik

    Tik tak, żenujące jest zarówno poziom zabezpieczeń jak i zawartość skrzynk mailowych naszych polityków. Co kraj to obyczaj

    1. Użytkownik

      Właśnie juz

    2. Pjoter

      Właśnie już się wylalo nie wazne ruski czy białoruski zabezpieczenia i to co tam wypisywano to jest cyrk i następne dowody nieudolności i miska ryżu dla Polaków

  6. oko

    za złamanie protokołu bezpieczeństwa ( w tym cyfrowego) powinna być dymisja z marszu a nie to co mamy w naszym rządzie lekceważenie jakichkolwiek procedur

  7. BUBA

    Tak naprawdę nie istotne kto przeprowadził atak, ale co wyciekło i jak było przesyłane miedzy adresatami. Pamiętamy afer z hasłem i loginem bodajże "admin/admin1" do zarządzania stronami rzadowymi z 2012. ..................................................................................................................................................................................................... Zapowiadana nowa jakośc administracji po prostu nie istnieje a to jest tzw. kultura korporacyjna.................

  8. złośliwy

    Jakoś tak mocno na czasie,ten raport.Już w lecie,zdaje się że w tygodniku Lisa pisali że to robota Białorusinów. Tylko nie mieli pewnosci których, tych złych, czy tych dobrych.

  9. Andrettoni

    Jak ktoś nie wystawia głowy z okopu, to snajper go w nią nie trafi. To samo dotyczy naszych polityków. Gdyby zachowywali zasady bezpieczeństwa to nic by im nie skradziono. W sumie to dobrze, że te informacje wypłynęły, bo teraz o tym wiemy, a informacje pewnie były od lat czytane przez obce wywiady. To, że obywatele się dowiedzą, że jakiś polityk jest głupi, pozwala wymienić go na mądrzejszego i zastosować procedury bezpieczeństwa. Strach pomyśleć co się dzieje, gdy taka informacja nie wypłynie, a obce wywiady ją znają. Obnażenie głupoty jedynie obnaża tę głupotę, ale nie jest jej przyczyną.

  10. Młot

    Problem w tym że przecieki nie dotyczą rządowych serwerów a służbowej korespondencji przesyłanej bezprawnie pomiędzy prywatnymi skrzynkami.

  11. zenek

    My popieramy Cyberpartyzantów, tworzymy kanały komunikacyjne itp., oni atakują i odpowiadają. Proste. Oni naruszają naszą suwerenność i my ich.

Czytaj także