Social media

Afera mailowa. Raport ekspertów wskazuje na powiązania z Białorusią

Fot. Elti Meshau / Unsplash
Fot. Elti Meshau / Unsplash

UNC1151 realizowana przez grupę powiązaną najprawdopodobniej z rządem Białorusi i według wielu dowodów - z białoruskim wojskiem, to druga - obok kampanii Ghostwriter - operacja informacyjna, której celem są kraje graniczące z Białorusią, w tym Polska. Wycieki z rządowych skrzynek mailowych to część szerszej operacji informacyjnej prowadzonej przez tę grupę. 

Czym są operacje informacyjne UNC1151 i Ghostwriter?

Kraje, które stały się celem operacji Ghostwriter, w ostatnim czasie zerwały relacje dyplomatyczne z Mińskiem, skąd prowadzona jest ta kampania - zwracają uwagę eksperci w raporcie firmy Mandiant, do którego dotarł serwis CyberDefence24.pl.

Najczęściej atakowanymi w ramach kampanii UNC1151 podmiotami są ministerstwa obrony narodowej państw leżących w zakresie zainteresowania tej grupy, jednak w przypadku Polski oraz Litwy - cyberprzestępcy obrali za cel również inne podmioty. 

Informacje zdobyte przez Mandiant wskazują, że operacja UNC1151 realizowana jest z Mińska we współpracy z białoruskim wojskiem - grupa, która za nią odpowiada posługuje się złośliwym oprogramowaniem HIDDENVALUE i HALFSHELL. Jednostka ta nie korzysta z oprogramowania open source i innych narzędzi. Od 2017 roku, kiedy zespół Mandiant zaczął obserwować operację UNC1151, zdolności techniczne jej sprawców uległy rozwojowi i poprawie - twierdzą eksperci, którzy scharakteryzowali złośliwe oprogramowanie wykorzystywane w ramach UNC1151 jako przede wszystkim aplikacje .NET z podstawowymi funkcjami.

Operacje prowadzone przez grupę realizują cele zbieżne z polityką reżimu Łukaszenki - oceniają specjaliści. W raporcie firmy Mandiant, do którego dotarł serwis CyberDefence24.pl, oceniono, że po sfałszowanych przez Łukaszenkę wyborach w 2020 roku działania operacji UNC1151 zostały skierowane w szczególności przeciwko krajom, które stanęły w obronie demokratycznej opozycji na Białorusi - to m.in. Litwa i Polska. 

Operacje UNC1151 i Ghostwriter mają najpewniej tego samego sponsora - twierdzą w swoim opracowaniu eksperci, którzy podkreślają jednak, że nie dysponują danymi pozwalającymi określić pochodzenie wykorzystywanych w ramach obu kampanii treści.

Jaki jest wpływ Rosji?

Mandiant nie wyklucza, że w obie kampanie zaangażowana jest Rosja, jednak nie znaleziono wystarczającej liczby dowodów mogących z całą pewnością potwierdzić tę tezę, jak i dookreślić zakres ewentualnego zaangażowania. 

Większość celów realizowanych operacji jest zbieżna z celami rosyjskiej polityki, które uderzają w NATO i wiarygodność Sojuszu w państwach bałtyckich oraz w Polsce. Operacje skierowane przeciwko NATO, jednak koncentrują się na Łotwie i Litwie, które graniczą z Białorusią, a omijają Estonię, która również zalicza się do Bałtyków, jednak nie sąsiaduje bezpośrednio z Białorusią - co znów odsyła analityków do reżimu Łukaszenki.

Mandiant nie wyklucza jednak, że Rosja, posiadająca rozbudowane zdolności techniczne, udziela Białorusi wsparcia w realizacji obu kampanii. 

Dyskredytacja polskiego rządu, phishing w tle

Wykorzystywane w ramach operacji informacyjnej Ghostwriter narracje to krytyka rządów państw sąsiadujących z Białorusią. W przypadku Polski i Litwy, kraje te zostały oskarżone o próby wmieszania się w wewnętrzne sprawy reżimu. W sierpniu 2021 roku w ramach tej operacji informacyjnej na Litwie i w Polsce promowane były m.in. tezy o fałszywych przestępstwach popełnianych przez migrantów, o których dowóz na granicę oba kraje zaczęły wtedy oskarżać Łukaszenkę. 

Tezy tej operacji informacyjnej dyskredytujące polski rząd promowane były w białoruskiej państwowej telewizji. Przedstawiano tam m.in. materiały wyciekające rzekomo ze skrzynki szefa KPRM Michała Dworczyka - wycieki te to również rezultat kampanii typu „hack and leak” realizowanej w ramach operacji Ghostwriter w czerwcu tego roku - czytamy w raporcie.

Jeśli chodzi o operację Ghostwriter, źródło wykorzystywanych w niej treści, jak i złośliwego oprogramowania używanego do jej realizacji pozostaje niepewne. Specjaliści zwrócili jednak uwagę, że produkcja tak wielu treści w licznych językach (Ghostwriter to operacja realizowana po polsku, angielsku, litewsku, łotewsku, ukraińsku, niemiecku i po rosyjsku) wymaga zaawansowanych umiejętności i może wskazywać na zaangażowanie zewnętrznych organizacji i państw. 

Operacja UNC1151 opiera się z kolei na wykorzystaniu narzędzia GoPhish i działaniach z zakresu cyberszpiegostwa, jak i dalszej dystrybucji treści generowanych w ramach kampanii Ghostwriter. 

Odpowiedź Białorusi na „wtrącanie się w sprawy reżimu”?

Zdaniem Mandiant, operacje informacyjne, które nasiliły się po sierpniu 2020 roku mogą stanowić odpowiedź Mińska na to, co reżim Łukaszenki uważa za „wtrącanie się” w sprawy wewnętrzne Białorusi. 

Kampanie, których celem jest dyskredytacja rządów Litwy i Polski poprzez ujawnianie rzekomych informacji o skandalach korupcyjnych rządzących tam ugrupowań, próba skłócenia obu tych państw, które do tej pory współpracowały w zakresie reagowania na politykę Łukaszenki oraz dyskredytacja białoruskiej opozycji demokratycznej wpisują się w tę narrację - oceniają eksperci. 

Kto znalazł się na celowniku operacji UNC1151?

Według raportu, celem działań prowadzonych w ramach tej operacji jest szereg podmiotów prywatnych i rządowych nie tylko z Polski i Litwy, ale i innych państw - Ukrainy, Łotwy i Niemiec. Cyberprzestępcy działający w ramach kampanii UNC1151 za swój cel obrali demokratycznych białoruskich dysydentów, dziennikarzy i media, koncentrując się na wykradaniu poufnych informacji. 

Eksperci podkreślają, że nie znaleziono dowodów na próbę monetyzacji pozyskanych danych. 

Do cyberataków wykorzystywano domeny podszywające się pod znane firmy, takie jak Facebook, Google czy Twitter, a także złośliwe oprogramowanie pozwalające na uzyskanie nieautoryzowanego dostępu do komputerów (w szczególności podczas ataków na podmioty z Ukrainy, ale również na Litwie i w Polsce). 

Kampania phishingowa, której głównym celem była Polska, została zrealizowana w ramach UNC1151 w czerwcu 2019 roku. Wtedy to złośliwe maile trafiły również do podmiotów z Litwy, Łotwy, Ukrainy, Kolumbii, Irlandii i Szwajcarii. Łącznie nadano 33 złośliwe listy. 

„Ryzyko naruszenia polskiej suwerenności”

W rozmowie z serwisem CyberDefence24.pl niezależny badacz i konsultant cyberbezpieczeństwa, współpracujący w przeszłości z Międzynarodowym Komitetem Czerwonego Krzyża w Genewie dr Łukasz Olejnik ocenił, że „w obecnej sytuacji to wygląda bardzo poważnie, bo mamy do czynienia z analizami wskazującymi na ryzyko naruszenia polskiej suwerenności”.

Jego zdaniem „w kontekście wydarzeń na naszej polskiej granicy i ew. kwestii naruszenia suwerenności również tam, zaczyna być to problem wielkiej wagi i bardzo złożony” - dodał ekspert. 

W opinii Olejnika w raporcie firmy Mandiant nie powiedziano wszystkiego, uwagę zwraca jednak powiązanie realizowanych operacji z konkretnym miejscem (Mińsk). „Daje się zauważyć, że nie ujawniono wszystkich informacji, np. dowodów technicznych - wskazano jednak jasno, że istnieją” - powiedział badacz, który w rozmowie z naszym serwisem ocenił, że operacje te stanowią duże ryzyko i zagrożenie dla Polski.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

Komentarze

    Czytaj także