Група кіберзлочинців UNC1151 пов’язана із владою Білорусі та, ймовірно, білоруською армією, - говорить виданням «Rzeczpospolita» та «Wprost» експрацівник польського Агентства внутрішньої безпеки та ексголова Комп’ютерної групи реагування на надзвичайні ситуації (CERT), а нині фахівець американської компанії із кібезрбезпеки Mandiant.
Група гакерів, пов'язаних з кібероперацією Ghostwriter, у межах якої, серед іншого, були опубліковані електронні листи польських політиків, пов’язана із білоруським режимом. Про це у вівторок заявила американська компанія з кібербезпеки Mandiant, яка не виключає участі російських гакерів.
«Mandiant Threat Intelligence оцінює з високим ступенем впевненості, що UNC1151 пов'язаний з білоруською владою. Ця оцінка базується на технічних і геополітичних показниках», - йдеться на сайті Mandiant. Експерти також оцінили, що сама інформаційно-шпигунська кампанія Ghostwriter є роботою принаймні частково білоруського режиму.
«Ми не можемо виключити російську складову у UNC1151 і Ghostwriter. Однак на даний момент ми не знайшли прямих доказів такої складової», - написано у повідомленні.
«На нашу думку, UNC1151 відповідає за технічну підтримку та фішингові кампанії, розсилку шкідливих програм, а Ghostwriter – за змістову сторону інформаційної операції», – каже в інтерв’ю «Rzeczpospolita» Марцін Сєдляж, один із авторів звіту.
UNC1151 і Ghostwriter стоять, за даними польських служб - Агентства внутрішньої безпеки та Служби військової контррозвідки, - за проникненням на сторінки голови Канцелярії прем'єр-міністра Міхала Дворчика, політиків Права і справедливості та майже 4,5 тис. громадян Польщі, чиї акаунти були зламані в жовтні минулого року.
У звіті Mandiant також описано політичне тло, яке доводить, що згадані кіберзлочинці працюють на білоруський режим. Це є результатом аналізу цілей атак. Доказом того, що цілі UNC1151 збігаються з білоруською диктатурою, є той факт, що «більшість операцій була спрямована проти сусідніх з Білоруссю країн».
За словами американської компанії, операція, спочатку спрямована проти присутності солдат НАТО в країнах східного флангу, змінила свій характер, беручи під приціл передусім владу та суспільства сусідів Білорусі, а також – у період минулорічних президентських виборів у Білорусі - білоруську опозицію. При цьому угруповання ніколи не робило жодних дій проти громадян Росії чи Білорусі.
«Дезінформаційно-пропагандистську діяльність угруповання можна розділити на два періоди: до та після президентських виборів у Білорусі. До виборів, тобто до серпня 2020 року, панувала загальна антинатівська риторика, дезінформація про те, що американські солдати в Європі поширюють коронавірус, що розгортання зброї НАТО посилить загрозу для європейських країн. Це була систематична побудова негативного іміджу Альянсу серед місцевої громади», - каже виданню «Wprost» Сєдляж.
«Після серпня 2020 року наратив під керівництвом групи Ghostwriter збігся з політикою Мінська. Під удар потрапили Польща, Україна та країни Балтії, але без Естонії, яка не межує з Білоруссю», - каже експерт.
«Наратив після фальсифікованих виборів у Білорусі стосувався нібито корупції та скандалів у керівних партіях Польщі та Литви, а також втручання цих країн у внутрішні справи Білорусі. Деякі елементи кампанії групи Ghostwriter з'явилися одночасно на білоруському державному телебаченні», - пояснює Сєдляж.
Водночас, за словами фахівця, інформаційні операції в стилі Ghostwriter проводяться вже кілька десятиліть і немає нічого нового, що ситуація на польсько-білоруському кордоні використовується для пропагандистської діяльності. «Слід замислитися, чи не відволікає це від інших гарячих точок у Східній Європі, наприклад, в Україні», - наголошує він.
Водночас, як зауважує в інтерв’ю «Wprost» полковник Мацей Матисяк, колишній заступник голови Служби військової контррозвідки, експерт фонду STRATPOINTS, «зміна атрибуції групи UNC1151 з Росії на Білорусь абсолютно нічого не змінює». «Треба вважати, що ці заходи здійснюють східні служби. Ця інформація лише підтверджує тісну співпрацю в єдності дій обох країн. Дії Білорусі завжди будуть відповідати діям Росії, а не навпаки. Немає шансів, аби Білорусь діяла самостійно, і все відбувається з відома та згоди Росії», – каже він.
«Можливо, надання цієї інформації Mandiant було навмисним, щоб зняти підозру з Росії, особливо якщо раніше їм приписували UNC1151. Для Путіна це означає, що він не повинен фірмувати свої дії і може поставити себе в роль незалежної сторони, яка не бере участь у конфлікті», - додає полковник Матисяк.
За даними Mandiant, витоки дезінформаційної частини операції Ghostwriter сягають принаймні 2016 року, а кібершпигунської - 2017 року. Свою назву кампанія отримала завдяки початковій тактиці гакерів, які проникали в системи місцевих порталів і поміщали в них неправдиву інформацію, спрямовану переважно на присутність військ НАТО. Відтоді операція поширилася на крадіжку конфіденційних даних та злом акаунтів політиків, що завершилося публікацією електронних листів із приватної поштової скриньки голови Канцелярії прем’єр-міністра Міхала Дворчика.
«Wprost», «Rzeczpospolita»/Т.А.