Analitycy: Mińsk i białoruskie służby mają związki z hakerami stojącymi za wyciekiem maili Dworczyka

Członkowie grupy UNC1151, która obsługuje kampanię "Ghostwriter", działają z Mińska - wynika z najnowszej aktualizacji raportu Mandiant Threat Intelligence. "Grupa UNC1151, która zapewnia techniczne wsparcie operacji "Ghostwriter", jest powiązana z rządem Białorusi" - stwierdzają cyberanalitycy. Dodają, że "Białoruś jest również przynajmniej częściowo odpowiedzialna za kampanię Ghostwriter", nie wykluczają jednocześnie rosyjskiego wkładu w UNC1151 lub "Ghostwriterze".

Z opublikowanych we wtorek ustaleń Mandiant wynika, że:

- działania grupy UNC1151, atakującej instytucje i prywatne podmioty na Ukrainie, Litwie, Łotwie, w Polsce i Niemczech, są zgodne z interesami białoruskiego rządu, a celem ataków są także białoruscy opozycjoniści,

- poza domenami używanymi na całym świecie, grupa podszywa się pod popularne domeny w tych pięciu krajach (w Polsce są to na przykład portale internetowe oferujące także usługi pocztowe),

- choć większość ataków prowadzonych przez UNC1151 wymierzona była w kraje sąsiadujące z Białorusią, odnotowano także ataki w innych krajach (zwłaszcza w latach 2016-2019), co może wskazywać, "że UNC1151 wspiera również dodatkowe cele",

- ataki informacyjne w ramach operacji "Ghostwriter" przed 2020 r. uderzały w NATO, od połowy 2020 r. skupiły się przede wszystkim na sąsiadach Białorusi. 

Najnowsze wnioski analityków firmy Mandiant są w dużej mierze zgodne z ustaleniami dziennikarek Fundacji Reporterów, opublikowanymi w kwietniu i latem na łamach tvn24.pl i vsquare.org. Jak wówczas pisałyśmy z Julią Daukszą, afera mailowa rządu PiS jest wykorzystywana głównie przez białoruski reżim, ale kampania "Ghostwriter" realizuje jednocześnie cele rosyjskie.

CZYTAJ TEKST "Priwiet, zostałeś zhakowany!" >>>

CZYTAJ TEKST "Za kulisami afery mailowej: scenariusz Autora Widmo" >>>

Przypomnijmy niektóre z tamtych ustaleń:

- istnieje bezpośredni związek między operacją "Ghostwriter" (ang. autor widmo), realizującą rosyjskie cele, i atakami na skrzynki Dworczyka;

- nie można wykluczyć, że pozyskane przez grupę UNC1151 dostępy do kont i znajdujących się na nich danych służą w kliku niezależnych operacjach bądź są wykorzystywane przez kilka współpracujących ze sobą grup prowadzących różne typy działań cyberszpiegowskich i dezinformacyjnych;

- na początku serii phishingów (wyłudzania loginów i haseł z pomocą maili imitujących popularne usługi), trwającej od początku pandemii, sprawcy próbowali uzyskać dostęp między innymi do środowiska pracy zdalnej resortu obrony narodowej, a później też np. do celów militarnych na Ukrainie;

- istnieją pewne podobieństwa między schematem działań cyberszpiegowskiej grupy UNC1151, zaangażowanej w kampanię "Ghostwriter" a działaniem grup znanych jako Fancy Bear i Sandworm, współpracujących przy głośnych międzynarodowych atakach hakerskich, za którymi stało GRU.

Jak wówczas pisałyśmy, już we wrześniu 2020 r. w atakach z użyciem zhakowanych kont polskich użytkowników, w operacji "Ghostwriter" pojawiał się wątek białoruski (wówczas ataki te uderzały przede wszystkim w relacje polsko-litewskie). 

Od początku afery mailowej treści pochodzące ze skrzynki Michała Dworczyka były szeroko wykorzystywane przez białoruską machinę propagandową, na co zwracają uwagę także autorzy najnowszego raportu firmy Mandiant. Białoruskie reżimowe media uwiarygadniają nimi narrację o tym, że protesty przeciwko wynikom tamtejszych wyborów prezydenckich były inspirowane i finansowane z Polski. Według autorów raportu, rosyjskojęzyczny kanał na Telegramie (gdzie publikowane są treści mające pochodzić ze skrzynki Dworczyka) to jeden z "zasobów źródłowych, wykorzystywanych w ramach operacji 'Ghostwriter'".

Jak pisałyśmy w lipcu, informację o tym, że "polski reżim cenzuruje media społecznościowe z niewygodnych informacji o jego rażącej ingerencji w sprawy Białorusi", podawał m.in. kanał o nazwie "OMON Moskwa" (post został usunięty chwilę potem).

Firmy cyberanalityczne dokonują atrybucji (tj. przypisania ataków konkretnej grupie) na podstawie szczegółowych analiz technicznych, przede wszystkim badania infrastruktury użytej do przeprowadzania ataków (a zatem np. adresów IP, serwerów DNS czy certyfikatów SSL).

Mandiant zwraca uwagę, że historyczne domeny używane przez UNC1151 podszywały się pod strony internetowe takich podmiotów jak np. rząd Malty i armia kuwejcka, które znajdują się poza bezpośrednim sąsiedztwem geograficznym Białorusi. Nowsze domeny wykorzystywane przez UNC115 podszywają się pod podmioty związane z celami w Polsce, na Litwie i Ukrainie.

Te związki i podobieństwa między domenami przypisywanymi UNC1151 także opisywaliśmy na łamach tvn24.pl i vsquare.org. Trop urywał się na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii, gdzie zostało zarejestrowanych kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do popularnych usług (np. Facebooka, Twittera, iCloud), polskich skrzynek na wp.pl i Onecie, ale także polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 roku i prowadziła do strony logowania związanej z ukraińskim wojskiem.

Kolejne tropy wiodły jednak do wzorów domen, używanych w jeszcze wcześniejszych i bardziej złożonych atakach przypisywanych przez inne firmy zajmujące się cyberbezpieczeństwem, grupie APT28 (APT to skrót od "advanced persistent threat", czyli zaawansowane trwałe zagrożenie). To alias nadany jednostce funkcjonującej w mediach jako "grupa aktywistów" Fancy Bear, a zdemaskowanej jako jednostka GRU, rosyjskiego wywiadu wojskowego. Grupa ta współpracowała także z inną znaną grupą hakerską związaną z rosyjskimi służbami, Sandworm, przy najgłośniejszych atakach ostatnich lat.

Według analityków firmy Mandiant nie ma na tym etapie technicznych dowodów, które byłyby podstawą do łączenia działalności grupy UNC1151 i znanych rosyjskich grup, a grupa UNC1151 stosuje unikalne narzędzia i zachowania. "Nie mamy bezpośrednich dowodów zaangażowania rosyjskiego w UNC1151 lub operację 'Ghostwriter'", piszą analitycy, podkreślając jednak, że cała operacja pokrywa się z celami rosyjskimi, a "biorąc pod uwagę bliskie więzi między rządami, współpraca jest możliwa". "Rosja posiada wiedzę w zakresie ofensywnych operacji cybernetycznych i informacyjnych, które mogłyby wesprzeć operację" - dodają.

Na scenariusz rosyjski wskazują m.in. dotychczasowe ustalenia niemieckich służb, które po serii cyberataków na posłów Bundestagu przypisały operację "Ghostwriter" do działań GRU , co ujawnił m.in. dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi.

Pod koniec października Rada UE potępiła operację "Ghostwriter", wskazując na jej rosyjską inspirację: "Obserwowana szkodliwa cyberdziałalność jest wymierzona w licznych posłów do parlamentów, urzędników rządowych, polityków oraz przedstawicieli prasy i społeczeństwa obywatelskiego w UE. Polega na uzyskaniu dostępu do systemów komputerowych i kont osobistych i na kradzieży danych. Działania te (...) stanowią próbę podważenia naszych demokratycznych instytucji i procesów, gdyż m.in. służą dezinformacji i manipulowaniu informacjami" - głosił komunikat.

Biorąc pod uwagę skalę operacji w kilku państwach jednocześnie, duże zaangażowanie sił i środków, cele geostrategiczne, a także dystrybucję w rosyjskojęzycznej sieci, można zakładać, że nie jest to poziom samodzielnych działań białoruskich służb, bez udziału, nadzoru, szkolenia czy wsparcia ze strony służb rosyjskich.

Tymczasem minęło właśnie pięć miesięcy nieprzerwanego wycieku ze skrzynki e-mailowej szefa kancelarii premiera, wobec którego polski rząd pozostaje bezradny. Niemal codziennie kolejne maile, ujawniające kulisy działań czołowych osób w państwie, publikuje dedykowana strona internetowa. A to wciąż jedynie wierzchołek góry lodowej - jak ujawniliśmy już w marcu na łamach tvn24.pl, w dyspozycji tych, którzy stoją za operacją "Ghostwriter", jest potencjalnie wciąż ogromna ilość wrażliwych informacji.