Расследование: Хакерская группа, которая атаковала Украину, связана с белорусскими властями. Объектами ее атак становились многие белорусы

Расследователи в области кибербезопасности обнаружили признаки того, что кампания взлома и дезинформации Ghostwriter/UNC1151 организована хакерами, связанными с белорусскими властями. Несколько дней назад эту группу обвинили в масштабной кибератаке на Украину.

Страны, где хакерская группа была активной. Это прежде всего страны по периметру Беларуси, но не Россия. В самой Беларуси объектами атак были только независимые СМИ и деятели оппозиции. Среди объектов деятельности группировки оказалась и Колумбия — страна, имеющая конфликтные отношения с Венесуэлой, у руководства которой близкие связи с Лукашенко.

В течение последних четырех лет хакерская и дезинформационная группа, известная как Ghostwriter/UNC1151, атаковала страны Восточной Европы и Балтии. Последнее, в чем ее обвинили — атака на правительственные сайты и электронные украинские сервисы. Раньше все думали, что Ghostwriter — очередная кампания из Москвы, учитывая методы группы, а также антинатовские и антиамериканские нарративы. Как оказалось, это не совсем так. Согласно занимающейся кибербезопасностью американской фирме Mandiant, хакеры из Ghostwriter/UNC1151 работают на белорусские власти.

Mandiant впервые проанализировала деятельность Ghostwriter в июле 2020 года. В то время группа Ghostwriter занималась распространением фейковых новостей и даже, для их размещения, взломом реальных новостных сайтов.

В апреле 2021 года Mandiant пришла к выводу, что Ghostwriter ведет более широкую деятельность, включая взлом аккаунтов чиновников в социальных сетях для распространения дезинформации. Группа долгое время была сосредоточена на подрыве роли НАТО в Восточной Европе и пыталась вызвать нестабильность в Польше, Украине, Литве, Латвии и Германии.

Американские специалисты по кибербезопасности обратили внимание, что хакеры из этой группы все чаще начали решать задачи, связанные с Беларусью. Атаки на белорусских диссидентов, СМИ и журналистов со стороны Ghostwriter выглядят так, будто они проводятся в интересах белорусских властей. Хотя хакерская группа специализировалась на Восточной Европе, она никогда не атаковала белорусские госструктуры, а журналистов, демократических диссидентов и активистов из Беларуси атаковала.

Среди тех, кто в первой половине 2021 года получил предупреждение от Google: «Мы считаем, что связанные с правительством хакеры пытаются украсть ваш пароль» — были и два редактора «Нашей Нивы».

Однако их почтовые ящики на Gmail злоумышленникам вскрыть не удалось.

«Мы фиксируем такие попытки крайне редко», — говорилось в уведомлениях Google с рекомендациями по усилению защищенности аккаунта.

В рамках своих операций с целью кражи учетных данных хакеры подделывали такие веб-сайты, как Facebook, Google и Twitter. Также хакеры подделывали сайты государственных учреждений в пяти странах.

Сотрудники Mandiant выявили технические доказательства того, что хакеры находятся в Минске и что они могут быть связаны с белорусской армией.

После президентских выборов 2020 года 16 из 19 дезинформационных операций Ghostwriter были направлены против Литвы и Польши, две были против НАТО, а одна — против ЕС.

Несколько раз хакеры продвигали фейки о коррупции и скандалах в правительствах Литвы, Польши и НАТО. Другие кампании Ghostwriter продвигали фейки о том, что белорусских протестующих координировали западные страны.

Казалось бы, антинатовские нарративы характерны не только для Беларуси, но и для России. Однако хакерские кампании были направлены в первую очередь против стран, граничащих с Беларусью. Примечательно, что Ghostwriter не сосредоточился на Эстонии — единственной стране Балтии, которая не граничит с Беларусью.

Среди объектов деятельности группировки была и Колумбия — страна, имеющая конфликтные отношения с Венесуэлой, у руководства которой близкие связи с Лукашенко.

Американские специалисты отмечают, что Ghostwriter чаще фокусируется на оборонных ведомствах, что может говорить о том, что хакерская группа занимается в первую очередь военной разведкой. Кампании были направлены в том числе против украинских и французских военных.

Атаки Ghostwriter не являются технически очень сложными, говорят расследователи, но группа имеет полностью независимую структуру, собственную инфраструктуру и использует собственные вредоносные программы, а не общедоступные инструменты.

Хотя раньше считалось, что Ghostwriter — это российские хакеры, а теперь расследователи стали обвинять белорусскую власть, в Mandiant считают, что эти две версии не противоречат одна другой.

Между Беларусью и Россией существует политический союз, и Россия в некоторых моментах может помогать белорусским хакерам, особенно в вопросах совместной заинтересованности официальных Москвы и Минска.

Примечательно, что несколько дней назад в украинском Совете национальной безопасности и обороны именно эту хакерскую группу обвинили в кибератаке на украинские правительственные сайты и сервисы.