Як пише газета «Rzeczpospolita», польські служби вважають, що відповідальною за кібератаку є група UNC1151, пов’язана з російськими спецслужбами. У списку цілей атаки було щонайменше 4350 електронних адрес, які належать громадянам Польщі.
Серед них – понад 100 акаунтів, що ними користуються особи, які виконують державні функції – члени колишнього та нинішнього урядів, депутати, сенатори, самоврядники, працівники засобів масової інформації та неурядових організацій. У цій групі – також адреса, яку використовував міністр Міхал Дворчик, голова Канцелярії прем’єр-міністра. Речник міністра-координатора спецслужб Станіслав Жарин повідомив, як гакери заволоділи цим акаунтом – за допомогою посилання з вірусом, що відкрило доступ до комп’ютера міністра, тобто так званого фішингу.
Як повідомляють служби, нещодавні дії групи UNC1151 у Польщі – це елемент кампанії «Ghostwriter», її метою є дестабілізувати політичну ситуацію в країнах Центральної Європи. Проте, на думку фахівців, які займаються питанням кібербезпеки, «ця справа є досить дивною». «Це може бути атака проти наших політиків, але внутрішньо ми вважаємо, що тут щось смердить. На наш погляд, це може бути початок або фрагмент якоїсь більшої кампанії. Перехоплені акаунти могли бути використані, наприклад, щоб атакувати в іншому напрямку, тобто нападник використовує чийсь акаунт, щоб здобути довіру фактичної цілі, і наша країна може бути лише „проміжною ціллю” . Може бути й так, що атака маскує інші події», – каже Пшемислав Крейза, директор у справах досліджень та розвитку компанії Mediarecovery.
Експерти підтверджують: Польща була об’єктом кібер-операції «Ghostwriter» – пише видання forsal.pl. «Ми виявили численні операції проти польських суб’єктів у межах кампанії „Ghostwriter”», – повідомила компанія Mandiant, яка займається питанням кібербезпеки. Це підтверджує попередні висновки польських служб. Mandiant першою повідомила про операцію ще в звіті за липень 2020 року. Аналітики тоді писали, що це операція впливу, метою якої є поширення змісту, критичного стосовно НАТО, передусім у Литві, Латвії та Польщі.
У її межах раніше невідомий підрозділ під назвою UNC1151, за яким, як підозрювалиося, стояла інша держава, провів кампанію, що полягала, зокрема, в публікації та розсиланні фальшивих статей, оприлюднених після проникнення на вебсторінки порталів, зокрема про те, що НАТО нібито готується до війни з Росією.
У черговому звіті, від квітня 2021 року, компанія оцінила, що діяльність підрозділу є ширшою, ніж підозрювалося раніше. Групу UNC1151 визнали відповідальною, серед іншого, за заволодіння акаунтами в соцмережах політиків Об’єднаної правиці, в тому числі депутатів Марека Суського та міністр Марлєни Мальонг. Тоді компанія Mandiant заявила, що основні зусилля «Ghostwriter» зосередилися не на Північноатлантичному альянсі, а на створенні поділів серед керівної коаліції в Польщі та в польському суспільстві.
Крім польських політиків, ціллю соціотехнічних атак були також військові та урядові суб’єкти та ЗМІ в країнах Балтії та в Україні, а згодом також політики в Німеччині та, зокрема, відомий білоруський опозиційний блогер.
Загалом у звіті мовиться про 34 інциденти, пов’язані з «Ghostwriter» протягом останніх п’яти років. Не всі інциденти можна приписати групі UNC1151, проте є чималий рівень упевненості в тому, що вона відповідальна принаймні за частину з них.
Н.Б.