Powiązana z Białorusią grupa hakerska miała stać za atakiem na skrzynkę ministra Michała Dworczyka oraz innymi operacjami w Polsce, Niemczech i państwach bałtyckich – twierdzą amerykańscy eksperci. Analiza dr. Andrzeja Kozłowskiego, analityka ds. cyberbezpieczeństwa.
Grupa hakerska UNC1151 odpowiedzialna m.in. za ataki na polski i niemieckich polityków jest powiązana z białoruskim rządem – twierdzą eksperci amerykańskiej firmy Mandiant. Ma ona operować z okolic Mińska i pozostawać w bliskich relacjach z siłami zbrojnymi Łukaszenki. Ocena oparta została na badaniu technicznych śladów oraz analizie sytuacji geopolitycznej. Wspomniana grupa była również odpowiedzialna za wsparcie techniczne udzielne operacyjnym informacjom prowadzonym w ramach kampanii Ghostwriter.
- Spotkania z klientami na zoomie już nie wystarczą. Jak cyfryzować firmę, żeby klient cię pokochał? Impresje Samcika i nie tylko [BIZNES BEZ PAPIERU]
- Hosting, czyli za co tak naprawdę płacisz? Jak wybrać firmę, z którą nie grozi ci "blackout" strony, e-sklepu lub bloga?
- Prywatność w sieci. Jak ją chronić przed oszustami, szpiegami, złodziejami i... rządem? Wystarczy zrobić tych kilka rzeczy
Eksperci Mandiant w swoim najnowszym raporcie stwierdzają, że Białoruś była do „pewnego stopnia odpowiedzialna” za operacje informacyjne prowadzone w ramach kampanii Ghostwriter, która była wymierzona w obszar informacyjny Polski, Litwy i Łotwy i miała na celu m.in. dyskredytację rządzących czy pogłębianie podziałów politycznych i społecznych.
Wskazują także, że jej cele były zbieżne z polityką zagraniczną Mińska. Nie wykluczono również współudziału Rosji w działaniach grupy UNC1151 oraz kampanii Ghostwriter. Jednocześnie eksperci firmy stwierdzili, że nie posiadają jednoznacznych dowodów na potwierdzenie tej tezy.
Wcześniej w oficjalnym komunikacie Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego wskazywano, że grupa UNC1151 jest powiązana ze służbami rosyjskimi, a atak na skrzynkę ministra Michała Dworczyka był elementem operacji Ghostwriter. Jak widać polskie służby doszły do innych wniosków niż eksperci grupy Mandiant. Biorąc pod uwagę, napięte stosunki Polski z Białorusią, wnioski z raportu amerykańskiej firmy nie powinny jednak dziwić. Wielu ekspertów skupiało się na Rosji, zapominając niesłusznie o Białorusi, która okazała się sprawna w działaniach w cyberprzestrzeni.
Cele operacji – czyli co już wiemy o operacji działaniach grupy UNC1151?
Raport potwierdza ustalenia ekspertów o tym, że grupa UNC1151 atakowała cele państwo, prywatne oraz media głównie na Ukrainie, Litwie, Łotwie, Polsce i Niemczech. W innych państwach doszło do sporadycznych przejawów działalności białoruskich hakerów.
Ofiarą UNC1151 padli również białoruscy opozycjoniści oraz dziennikarze, a ataki na nich miał miejsce rok przez wyborami prezydenckimi z 2020 roku, co z pewnością nie jest działem przypadku. Część z Białorusinów, która padła ofiarą UNC1151 została później aresztowana przez służby Łukaszenki. Autorzy raportu zauważają też, że wykradzione informacje nie zostały nigdzie w sieci sprzedane, co świadczy, że ataki nie były motywowane chęcią finansowego zysku, tylko wykorzystane w operacji informacyjnej.
Białoruscy hakerzy wykorzystywali szereg metod w swojej działalności. Rejestrowali oni domeny, które podszywały się prawdziwe strony internetowe i były wykorzystywane do kradzieży danych użytkowników. Najczęściej sięgano tutaj po domeny Facebooka, Google i Twittera oraz dostawców poczty internetowej, strony rządowe i podmiotów prywatnych z Ukrainy, Litwy, Łotwy, Polski i Niemiec. Odnotowano również liczne włamania, głównie do podmiotów znajdujących się na Ukrainie, ale również w Polsce i na Litwie. Grupa, co nie jest żadnym zaskoczeniem nie atakowała rosyjskich ani białoruskich podmiotów państwowych.
Istotnym elementem działań była kampania phisingowa w ramach, której w czerwcu 2019 roku wysłano maile zawierające złośliwe oprogramowania do 33 odbiorców. Głównie z Polski, Litwy, Łotwy i Ukrainy, ale też to rządów Kolumbii, Szwajcarii czy Irlandii, które nie wykazują bliskiego zainteresowania sprawami Białorusi i tego co się dzieje w Europie Środkowo-Wschodniej. Nie podano jednak szczegółowych informacji kto był na liście tych odbiorców i czy znalazł się na tej liście minister Dworczyk. Wydaje się to jednak mało prawdopodobne, ponieważ według ustaleń pierwsze wejście na konto ministra miała miejsce już dopiero wrześniu 2020 roku.
Operacja Śluza, wojna hybrydowa, technologia. I dramat człowieka
Złośliwe oprogramowanie i techniki ataku
Źródło pochodzenia złośliwego oprogramowania pozostaje nieznane – stwierdza w swoim raporcie amerykańska firma. Jednoznacznie stwierdzono jednak, że tworzenie takiego oprogramowania w wielu językach świadczy o wysokich umiejętnościach programistycznych. Autorzy raportu podkreślają też, że prowadzenie operacji informacyjnych w ramach kampanii Ghostwriter w wielu językach wymaga zaawansowanych umiejętności włamywania się do komputerów poprzez tworzenie wiarygodnych wiadomości phisingowych zachowując poprawność językową. Dlatego ich zdaniem możliwe jest, że obie grupy ze sobą współpracują, ale też ze względu na mnogość zadań, które wymagają takie operacja mogą być zaangażowane dodatkowe organizacje i osoby. Raport nie podaje nazw takich podmiotów.
Jak zidentyfikowano sprawców? Mandiant ujawnia sposoby atrybucji
Eksperci firmy Mandiant określili jako wysoce prawdopodobne powiązanie grupy UNC1151 z białoruskim rządem i jako umiarkowanie prawdopodobny związek z białoruskim wojskim. Swoją analizę oparto na tym, że większość operacji realizowanych przez wspomnianą grupę pokrywała się z interesami Białorusi. Wszystkie zaatakowane państwa mają też złe relacje z Mińskiem i są również częstym celem rosyjskiego cyberszpiegostwa. O powiązaniu UNC1151 z reżimem Łukaszenki świadczyć miały również liczne ataki wymierzone w białoruskich decydentów. Wskazując na zaangażowanie wojska, eksperci amerykańskiej firmy stwierdzili, że dowodem na to mogą być liczne ataki na resorty obrony innych państw. Bliżej nieujawnione informacje techniczne mają wskazywać, że grupa działa z okolic Mińska.
W raporcie wskazano również za wysoce prawdopodobne, że operacje informacyjne prowadzone w ramach kampanii Ghostwriter są prowadzone w celu wsparcia rządu Łukaszenki oraz określono jako umiarkowanie prawdopodobne, że białoruski rząd je bezpośrednio realizuje. Wskazuje tutaj na pokrywanie się celów operacji informacyjnych i celów realizowanych przez rząd Łukaszenki. Podkreśla się tutaj, że kiedy reżim Łukaszenki skoncentrował się na wyborach w 2020 roku, towarzyszyła temu zmiana działalności grupy UNC1151 i charakteru operacji Ghostwriter, za których zdaniem amerykańskich analityków stoi jeden podmiot.
Eksperci przyznają również, że nie znaleźli wystarczającej liczby dowodów na potwierdzenie lub odrzucenie tezy o rosyjskim udziale w działaniach realizowanych przez grupę UNC1151 oraz kampanii Ghostwriter. Amerykańska firma przyznała, że wiele operacji realizowanych przez oba ugrupowania była zbieżna z celami Rosji oraz duże podobieństwo technik i taktyk stosowanych przez rosyjskich i białoruskich hakerów nie można tego wykluczyć, a biorąc pod uwagę, bliską współpracę Mińska i Moskwy jest to prawdopodobne.
Mińsk czy Moskwa. Rosyjskie wsparcie dla operacji informacyjnych
Jednym z kluczowych pytań odnoszących się do działań grupy UNC1151 jest kwestia zaangażowania rosyjskiego. Wcześniej raporty m.in. polskich służb określały że grupa ta jest powiązana ze służbami specjalnymi prezydenta Putina. Madiant śledził od 2017 roku i nie zaobserwował żeby ich działania pokrywały się z dobrze znanymi rosyjskimi grupami takimi jak ATP28, ATP29, Turla, Sandworm czy TEMP. Armageddon. Jednocześnie autorzy raportu podkreślają, że nie można wykluczyć rosyjskiego wsparcia, albo i nawet bezpośredniego zaangażowania Rosji w działania UNC1151 czy operacje prowadzone w ramach kampanii Ghostwriter. Sandworm prowadził działania w tym samym czasie, co UNC1151, ale stosował zupełnie inne metody. Grupa powiązana z białoruskim rządem stawiała na ataki phisingowe, a Rosjanie używali techniki wodopoju. TEMP był znowu bardzo aktywny przeciwko celom na Ukrainie w tym samym czasie co UNC1151, ale analiza działalności tych dwóch grup wskazuje, że nie wiedziały o sobie i nie współdzieliły infrastruktury, złośliwe oprogramowania ani innych zasobów. Były szef Agencji Wywiadu, płk. Grzegorz Małecki nie wyklucza współpracy rosyjsko-białoruskiej w realizacji celów krótko czy długoterminowych w przypadku prowadzenia działań w cyberprzestrzeni oraz tych o charakterze informacyjnym.
Żołnierze NATO rozprzestrzeniają COVID? Ghostwriter uderza w NATO
Operacje informacyjne w ramach kampanii Ghostwriter prowadzone były w językach: angielskim, litewskim, polskim, łotewskim, ukraińskim, rosyjskim i niemieckim. Do połowy 2020 roku były głównie ukierunkowane na promowanie antynatowskich narracji, które miały na celu podważyć regionalną współpracę bezpieczeństwa pomiędzy Litwą, Łotwą i Polską. Z zidentyfikowanych operacji 22 oskarżały NATO o rozmieszczenie broni nuklearnej, szerzenia COVID-19 przez żołnierzy Sojuszu czy popełnianie przez nich przestępstw. Wszystkie te narracje miały przedstawić żołnierz NATO jako zagrożenie dla lokalnych społeczeństw. Ta kampania ukierunkowana na obniżenie wsparcia dla NATO służyła zarówno Białorusi jak i Rosji. Autorzy raportu podkreślają, że celem były tylko państwa graniczące z Białorusią. Dlatego ataki nie dotknęły np. Estonii
W Polsce przeprowadzono w 2020 roku szereg operacji informacyjnych wymierzonych w żołnierzy NATO stacjonujących w Polsce. W styczniu zhakowano stronę urzędu w Orzyszu i umieszczono informację o organizacji przez burmistrza tego miasta marszu „NIE dla wojsk USA w Polsce!”. Komunikat ten został następnie powielony na różnych lokalnych portalach, podszywano się też pod pracownika Defence24.pl starając się maksymalnie rozpowszechnić nieprawdziwą informację. Oczywiście, żadnego marszu nie organizowano, a komunikat był fałszywy. Kilka miesięcy później miała miejsce operacja informacyjna z wykorzystaniem strony Akademii Sztuki Wojennej na której hakerzy zawiesili fałszywą wiadomość rektora-komendanta krytykującego sojusz ze Stanami Zjednoczonymi.
Do dystrybucji tego komunikatu wykorzystano szereg portali internetowych zarówno polskich jak i zagranicznych oraz skrzynkę pocztową byłego posła. Obie operacje zostały jednak zignorowane i nie wyciągnięto z nich żadnych strategicznych wniosków, a mogło się wydawać, że były pewnym preludium i testem do tego co wydarzyło się w 2021 roku, kiedy wybuchła afera z mailami ministra Dworczyka.
Zemsta za wybory prezydenckie. Zmiana narracji Ghostwritera
Od sierpnia 2020 roku kiedy miały miejsca wybory na Białorusi, narracje promowane w ramach kampanii Ghostwriter uległy zmianie. Skoncentrowano się na relacjach pomiędzy Warszawą a Wilnem, ujawnianiem skandali i korupcji partii rządzących czy dyskredytowaniu białoruskich opozycjonistów. Warto pamiętać, że to Litwa i Polska najostrzej krytykowały działania reżimu Łukaszenki, dlatego też te dwa państwa znalazły się w ogniu krytyki ze strony białoruskiej propagandy. Starano się udowodnić, że ingerowały one w wewnętrzne sprawy Białorusi. W tej narracji nie ograniczano się jednak tylko do Wilna i Warszawy ale oskarżano również Stany Zjednoczone i NATO o sztuczne wykreowanie protestów przeciwko Łukaszence i szykowanie się do interwencji zbrojnej. Takie działania miały stworzyć przekonanie, że opozycja do reżimu Łukaszenki została sztucznie stworzona przez zachodnie siły i każdy kto się z nią identyfikuje popiera wrogów Białorusi. Operacje informacyjne prowadzone przez Ghostwriter starały się również wykorzystać regionalne problemy np. oskarżając Litwę o problemy z ich elektrownią atomową. Była to reakcja na oskarżenie Wilna, że białoruska elektrownia atomowa w Ostrowcu stanowi zagrożenie dla regionu.
Narracje stosowane przez Ghostwritera uderzające w rządy sąsiadujących państw były przedstawiane w białoruskiej publicznej stacji telewizyjnej jako fakty. Autorzy raportu nie przesadzają jednoznacznie, czy była to skoordynowana strategia czy może białoruska telewizja wykorzystała te narrację, które leżały w ich interesie. W białoruskiej telewizji państwowe dominowały materiały dyskredytujące rząd Polski. Skupiano się między innymi na omawianiu maili, które zostały wykradzione z konta ministra Michała Dworczyka oraz wskazywano wielokrotnie na wsparcie opozycji przez polskich polityków. Narracje te były szeroko promowane również na pro-białoruskich kanałach Telegrama.
Białoruś – kolejnym zagrożeniem w cyberprzestrzeni?
Raport Madiant stwierdzający, że UNC1151 i Ghostwriter to podmioty za którymi najprawdopodobniej stoi białoruski rząd pokazuje, że coraz więcej państw posiada w swoim arsenale narzędzia do prowadzenia zaawansowanych operacji informacyjnych oraz ataków w cyberprzestrzeni. Pułkownik Małecki przyznaje, że posiadanie przez Białoruś zdolności prowadzenia operacji w cyberprzestrzeni oraz działań informacyjnych nie jest żadnym zaskoczeniem. Do wiodących państw w sferze cyber od dawna należy Korea Północna czy Iran, które nie są potęgami gospodarczymi, a wręcz przeciwnie borykające się z poważnymi problemami – kończy były szef Agencji Wywiadu. Z perspektywy Polski i Unii Europejskie sytuacja ta jest bardzo niepokojąca, ponieważ Mińsk znajduje się na kursie kolizyjnym zarówno z Warszawą jak i Brukselą. Dlatego należy podjąć odpowiednie działania przygotowujące na takie zagrożenia.
Granica (człowieczeństwa), czyli technologiczny poligon doświadczalny
