Ten artykuł czytasz w ramach bezpłatnego limitu

W raporcie opublikowanym w poniedziałek czytamy, że zespół hakerów odpowiedzialny za operację Ghostwriter jest powiązany z białoruskim reżimem. Firma nie wyklucza jednak udziału hakerów rosyjskich. Prócz publikacji komunikatu, który znaleźć można na tej stronie, zorganizowano również konferencję, na której Mandiant poinformował o swoich badaniach.

Operacja Ghoswriter

Co ustalono? "Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami" – czytamy. Dodano, że ocenę oparto na technicznych i geopolitycznych wskaźnikach.

Eksperci Mandiant Threat Intelligence poinformowali, że operacja Ghostwriter jest przynajmniej w części dziełem Białorusi. "Nie można wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. W tym czasie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu" – napisano w raporcie.

Na udział Mińska w operacjach wskazują jednak niektóre dane techniczne, a przede wszystkim cele działań grupy UNC1151.

W ramach operacji Ghostwriter skupiono się na wyolbrzymieniu wybranych zdarzeń czy promowaniu określonej narracji, np. skandalach korupcyjnych, wewnętrznych problemach partii rządzących na Litwie i w Polsce, próbach dyskredytowania białoruskiej opozycji.

Serwis Niebezpiecznik zwraca uwagę na następujące incydenty, które można powiązać z działalnością UNC1151/Ghostwriter. To m.in. włamanie na konta polityków, m.in. minister Marleny Maląg, Joanny Borowiak, Marcina Duszka, Andrzeja Melaka czy Marka Suskiego (u tego ostatniego pojawiły się intymne zdjęcia); włamanie na serwer Państwowej Agencji Atomistyki oraz włamanie na skrzynki posłów, w tym Michała Dworczyka.

Eksperci Mandianta wskazali na konferencji, że wszystkie operacje trwają co najmniej od 2016 roku.

Początkowo hakerzy włamywali się do lokalnych portali i umieszczali fałszywe informacje. Potem cyberoperacje zaczęły rozszerzać zasięg o kradzież poufnych danych i włamania na konta polityków.

Hakerzy nie działają dla zysku

Mandiant podkreśla, że działania grupy nigdy nie są motywowane finansowo. Zawsze chodziło o pozyskanie informacji, dezinformację oraz budowanie konkretnego politycznego przekazu. Nigdy nie zaatakowano ani białoruskich, ani rosyjskich instytucji czy polityków. Niebezpiecznik dodaje, że ich operacje "nie zachodziły na operacje grup określanych kryptonimami: APT28, APT29, Turla, Sandworm i innych, które są powiązane z Rosją".

W raporcie czytamy też, że firmie udało się powiązać grupę UNC1151 z Mińskiem, zaś część zebranych dowodów wskazuje na wsparcie białoruskiej armii. Mandiant podkreśla, że powiązania te zostały potwierdzone przez inne niezależne źródła.

Niebezpiecznik zwraca uwagę, że UNC1151 korzysta głównie z phishingu, czyli "podszywania się". Robi to, udając lokalne serwisy świadczące usługi pocztowe, jak WP czy Onet. Ponadto hakerzy używają też złośliwego oprogramowania. "To istotna informacja, ponieważ oznacza, że ofiary UNC1151 w Polsce mogły zostać pozbawione nie tylko danych na skrzynkach pocztowych, ale także wszystkiego, co posiadały na swoich urządzeniach, na których uruchomiły złośliwy załącznik" – podkreślono w serwisie.

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.