Московские хакеры оказались из Минска
Исследователи безопасности обнаружили признаки того, что повсеместная кампания хакерских атак и дезинформации исходит не из Москвы, а из Минска, сообщает wired.
По крайней мере, четыре года известная группа хакеров и дезинформации Ghostwriter преследует страны Восточной Европы и Балтии. Учитывая их методы — и антинатовские и антиамериканские послания — широко распространено мнение, что Ghostwriter — это еще одна кампания, возглавляемая Кремлем. Европейский союз даже заявил в конце сентября, что некоторые государства-члены «ассоциировали» Ghostwriter «с российским государством». Как оказалось, это не совсем так. По данным аналитической компании Mandiant, хакеры Ghostwriter работают на Беларусь.
Mandiant впервые внимательно изучил Ghostwriter в июле 2020 года. В то время группа была известна прежде всего созданием и распространением фальшивых новостных статей и даже взломом реальных новостных сайтов для размещения вводящего в заблуждение контента. К апрелю 2021 года Mandiant приписал Ghostwriter более широкую деятельность, в том числе операции по взлому учетных записей государственных чиновников в социальных сетях с целью распространения дезинформации и попытки атаковать политиков с помощью операций взлома и утечки информации. Группа уже давно сосредоточена на подрыве роли НАТО в Восточной Европе и все чаще обращается к разжиганию политических разногласий или нестабильности в Польше, Украине, Литве, Латвии и Германии.
На конференции Cyberwarcon в Вашингтоне, округ Колумбия, во вторник аналитики Mandiant Бен Рид и Габби Ронконе представляют доказательства связей Ghostwriter с Беларусью.
«Действия по краже учетных данных, нацеленные на Восточную Европу, и информационные операции против НАТО совпадают с тем, что мы видели в прошлом, — сказал Рид WIRED перед конференцией. Несмотря на эти знакомые тактики, техники и процедуры, Mandiant в то время не ссылался на Москву, потому что не видел конкретных цифровых ссылок.
После неоднозначных выборов в Беларуси в августе 2020 года давний президент Александр Лукашенко сохранил власть на фоне обвинений в победе лидера оппозиции Светланы Цихановской. США осудили выборы, и многие соседи Беларуси, в том числе Польша, дали понять, что поддерживают белорусскую оппозицию. За это время Mandiant отметил заметные изменения в кампаниях Ghostwriter.
«Мы увидели, что мы стали уделять гораздо больше внимания вопросам, связанным с Беларусью — нацеленным на белорусских диссидентов, белорусов в средствах массовой информации, и то, что действительно выглядит так, как будто они проводятся в поддержку белорусского правительства», — сказал Рид. «А потом мы также наткнулись на технические детали, которые заставляют нас думать, что операторы находятся в Минске, а некоторые другие намекают на белорусских военных. Это подводит нас к тому моменту, когда мы с уверенностью можем сказать, что Ghostwriter имеет ссылку на Беларусь… »
Шейн Хантли, возглавляющий группу анализа угроз Google, говорит, что исследование Mandiant согласуется с собственными выводами TAG. «Их отчет согласуется с тем, что мы наблюдали», — сказал он WIRED.
Поскольку активность группы все больше и больше намекала на сугубо белорусскую повестку дня летом, Mandiant работал над тем, чтобы выяснить, кто на самом деле стоял за этими кампаниями. После прошлогодних выборов 16 из 19 операций по дезинформации Ghostwriter были сосредоточены на рассказах, порочащих литовское и польское правительства, соседей Беларуси. Двое отрицательно относились к НАТО, а один критиковал ЕС.
Операция Ghostwriter в августе, сосредоточенная на Польше и Литве, выдвинула ложную версию обвинений мигрантов в совершении преступлений. Затянувшаяся напряженность между Польшей и Беларусью резко обострилась в последние недели, и граница стала горячей точкой. В ходе других недавних операций предполагалось, что на литовских атомных электростанциях произошли аварии, возможно, потому, что Литва давно выступала против близости белорусской АЭС Островец к своей границе. Государственное телевидение в Беларуси уловило дезинформационные нарративы Ghostwriter и повторило их, хотя неясно, было ли это результатом конкретной координации или просто частью общей обратной связи белорусской проправительственной пропаганды. Рид также отмечает, что Ghostwriter не сосредоточился на Эстонии — единственном прибалтийском государстве, не граничащем с Беларусью.
Хотя Mandiant публично не раскрывает свои подробности для доказательств, исследователи говорят, что технические индикаторы связывают деятельность Ghostwriter с правительством Беларуси и отдельными лицами в Минске. Дополнительные улики потенциально указывают на конкретную связь с белорусскими военными. Исследователи говорят, что они непосредственно наблюдали эти связи, а также подтвердили их внешними источниками. Рид также отмечает, что среди правительств, на которые нацелился Ghostwriter, группа чаще всего фокусируется на министерствах обороны, а не на министерствах иностранных дел, что может указывать на военную разведку.
Лукаш Олейник, независимый исследователь и консультант по кибербезопасности, который следил за влиянием Ghostwriter в Восточной Европе, говорит, что некоторые действия группы, особенно операции по утечке политических данных, были значительными в таких странах, как Польша. «Я не знаю, каковы были цели этих операций, но рискну сказать, что некоторые из них были успешно достигнуты», — говорит он. «Это наиболее значительная политически или военно-мотивированная кибероперация, нацеленная на восточные части Европейского Союза».
По словам Рида, работа Ghostwriter не является самой сложной с технической точки зрения, но группа кажется полностью независимой и не имеет дублирования инфраструктуры с другими известными группами, по мнению Mandiant. Хакеры используют собственное вредоносное ПО, а не инструменты с открытым исходным кодом или общедоступные инструменты, и, по-видимому, имеют собственную инфраструктуру общедоступного облака.
Факт остается фактом: ЕС и другие исследователи приписывают Ghostwriter России, но Рид говорит, что эти результаты не обязательно противоречат друг другу, особенно с учетом того, что правительства могут иметь различную видимость и доступные доказательства.
«Между Беларусью и Россией существует давний политический союз, поэтому я не могу сказать, что Россия не участвует в этом», — добавляет Рид. «Но мы заметили, что сейчас мы не видим ничего, что их связывает».