Bezpośrednie tropy cyberszpiegowskiej operacji, której częścią jest wyciek maili m.in. Michała Dworczyka, wiodą do Mińska i białoruskich służb – ustalili analitycy międzynarodowej firmy Mandiant, badającej cyberzagrożenia na świecie. Nie wykluczają jednocześnie, że za całą operacją Ghostwriter, którą obsługuje hakerska grupa UNC1151, stoi Rosja. Wnioski analityków są w dużej mierze zgodne z ustaleniami opublikowanymi latem w tvn24.pl przez dziennikarki Fundacji Reporterów. Podsumowanie Anny Gielewskiej.
Członkowie grupy UNC1151, która obsługuje kampanię Ghostwriter, działają z Mińska – wynika z najnowszej aktualizacji raportu Mandiant Threat Intelligence. „Grupa UNC1151, która zapewnia techniczne wsparcie operacji Ghostwriter, jest powiązana z rządem Białorusi” – stwierdzają cyberanalitycy. Dodają, że „Białoruś jest również przynajmniej częściowo odpowiedzialna za kampanię Ghostwriter”, nie wykluczają jednocześnie rosyjskiego wkładu w UNC1151 lub Ghostwriter.
Cel: NATO i sąsiedzi Białorusi
Z opublikowanych we wtorek ustaleń Mandiant wynika, że:
– działania grupy UNC1151, atakującej instytucje i prywatne podmioty na Ukrainie, Litwie, Łotwie, w Polsce i Niemczech, są zgodne z interesami białoruskiego rządu, a celem ataków są także białoruscy opozycjoniści
– poza domenami używanymi na całym świecie, grupa podszywa się pod popularne domeny w tych pięciu krajach (w Polsce są to na przykład portale internetowe oferujące także usługi pocztowe)
– choć większość ataków prowadzonych przez UNC1151 wymierzona była w kraje sąsiadujące z Białorusią, odnotowano także ataki w innych krajach (zwłaszcza w latach 2016-2019), co może wskazywać, „że UNC1151 wspiera również dodatkowe cele”
– ataki informacyjne w ramach operacji Ghostwriter przed 2020 r. uderzały w NATO, od połowy 2020 r. skupiły się przede wszystkim na sąsiadach Białorusi.
Główny beneficjent: białoruski reżim
Najnowsze wnioski analityków Mandiant są w dużej mierze zgodne z ustaleniami dziennikarek Fundacji Reporterów, opublikowanymi w kwietniu i latem na łamach tvn24.pl i vsquare.org. Jak wówczas pisałyśmy z Julią Daukszą, afera mailowa rządu PiS jest wykorzystywana głównie przez białoruski reżim, ale kampania Ghostwriter realizuje jednocześnie cele rosyjskie.
Przypomnijmy niektóre z tamtych ustaleń:
– istnieje bezpośredni związek między operacją Ghostwriter (ang. autor widmo), realizującą rosyjskie cele, i atakami na skrzynki Dworczyka;
– nie można wykluczyć, że pozyskane przez grupę UNC1151 dostępy do kont i znajdujących się na nich danych służą w kliku niezależnych operacjach bądź są wykorzystywane przez kilka współpracujących ze sobą grup prowadzących różne typy działań cyberszpiegowskich i dezinformacyjnych;
– na początku serii phishingów (wyłudzania loginów i haseł z pomocą maili imitujących popularne usługi), trwającej od początku pandemii, sprawcy próbowali uzyskać dostęp między innymi do środowiska pracy zdalnej resortu obrony narodowej, a później też np. do celów militarnych na Ukrainie;
– istnieją pewne podobieństwa między schematem działań cyberszpiegowskiej grupy UNC1151, zaangażowanej w kampanię Ghostwriter a działaniem grup znanych jako Fancy Bear i Sandworm, współpracujących przy głośnych międzynarodowych atakach hakerskich, za którymi stało GRU
Jak wówczas pisałyśmy, już we wrześniu 2020 r. w atakach z użyciem zhakowanych kont polskich użytkowników, w operacji Ghostwriter pojawiał się wątek białoruski (wówczas ataki te uderzały przede wszystkim w relacje polsko-litewskie).
Środki: białoruska machina propagandowa
Od początku afery mailowej treści mające pochodzić ze skrzynki Michała Dworczyka były szeroko wykorzystywane przez białoruską machinę propagandową, na co zwracają uwagę także autorzy najnowszego raportu Mandiant. Białoruskie reżimowe media uwiarygadniają nimi narrację o tym, że protesty przeciwko wynikom tamtejszych wyborów prezydenckich były inspirowane i finansowane z Polski. Odwołują się także do rosyjskojęzycznego kanału na Telegramie, gdzie publikowane są domniemane maile Dworczyka z tłumaczeniem na język rosyjski, uznawanego przez Mandiant za jeden z „zasobów źródłowych, wykorzystywanych w ramach operacji Ghostwriter”.
Jak pisałyśmy w lipcu, informację o tym, że „polski reżim cenzuruje media społecznościowe z niewygodnych informacji o jego rażącej ingerencji w sprawy Białorusi”, podawał m.in. kanał o nazwie „OMON Moskwa” (post został usunięty chwilę potem).
Strategia: podszywanie się pod polskie podmioty
Firmy cyberanalityczne dokonują atrybucji (tj. przypisania ataków konkretnej grupie) na podstawie szczegółowych analiz technicznych, przede wszystkim badania infrastruktury użytej do przeprowadzania ataków (a zatem np. adresów IP, serwerów DNS czy certyfikatów SSL).
Mandiant zwraca uwagę, że historyczne domeny używane przez UNC1151 podszywały się pod strony internetowe takich podmiotów jak np. rząd Malty i armia kuwejcka, które znajdują się poza bezpośrednim sąsiedztwem geograficznym Białorusi. Nowsze domeny wykorzystywane przez UNC115 podszywają się pod podmioty związane z celami w Polsce, na Litwie i Ukrainie.
Te związki i podobieństwa między domenami przypisywanymi UNC1151 także opisywaliśmy na łamach tvn24.pl i vsquare.org. Trop urywał się na nieistniejącej ulicy w Kijowie lub w Kraju Ałtajskim na Syberii, gdzie zostało zarejestrowanych kilkadziesiąt domen i subdomen przygotowanych w celu wyłudzenia haseł do popularnych usług (np. Facebooka, Twittera, iCloud), polskich skrzynek na wp.pl i Onecie, ale także polskiego resortu obrony narodowej czy Ukroboronpromu, ukraińskiego koncernu zbrojeniowego. Chronologicznie najstarsza domena powstała w marcu 2020 i prowadziła do strony logowania związanej z ukraińskim wojskiem.
Kolejne tropy wiodły jednak do wzorów domen, używanych w jeszcze wcześniejszych i bardziej złożonych atakach przypisywanych przez inne firmy zajmujące się cyberbezpieczeństwem, grupie APT28 (APT to skrót od „advanced persistent threat”, czyli zaawansowane trwałe zagrożenie). To alias nadany jednostce funkcjonującej w mediach jako „grupa aktywistów” Fancy Bear, a zdemaskowanej jako jednostka GRU, rosyjskiego wywiadu wojskowego. Grupa ta współpracowała także z inną znaną grupą hakerską związaną z rosyjskimi służbami, Sandworm, przy najgłośniejszych atakach ostatnich lat.
Trop rosyjski? „Współpraca jest prawdopodobna”
Według analityków Mandiant, nie ma na tym etapie technicznych dowodów, które byłyby podstawą do łączenia działalności grupy UNC1151 i znanych rosyjskich grup, a grupa UNC1151 stosuje unikalne narzędzia i zachowania. „Nie mamy bezpośrednich dowodów zaangażowania rosyjskiego w UNC1151 lub operację Ghostwriter”, piszą analitycy, podkreślając jednak, że cała operacja pokrywa się z celami rosyjskimi, a „biorąc pod uwagę bliskie więzi między rządami, współpraca jest prawdopodobna”. „Rosja posiada wiedzę w zakresie ofensywnych operacji cybernetycznych i informacyjnych, które mogłyby wesprzeć operację” – dodają.
Na scenariusz rosyjski wskazują m.in. dotychczasowe ustalenia niemieckich służb, które po serii cyberataków na posłów Bundestagu przypisały operację „Ghostwriter” do działań GRU , co ujawnił m.in. dziennikarz niemieckiej telewizji publicznej Hakan Tanriverdi.
Pod koniec października Rada UE potępiła operację „Ghostwriter”, wskazując na jej rosyjską inspirację: „Obserwowana szkodliwa cyberdziałalność jest wymierzona w licznych posłów do parlamentów, urzędników rządowych, polityków oraz przedstawicieli prasy i społeczeństwa obywatelskiego w UE. Polega na uzyskaniu dostępu do systemów komputerowych i kont osobistych i na kradzieży danych. Działania te (…) stanowią próbę podważenia naszych demokratycznych instytucji i procesów, gdyż m.in. służą dezinformacji i manipulowaniu informacjami” – głosił komunikat.
Biorąc pod uwagę skalę operacji w kilku państwach jednocześnie, duże zaangażowanie sił i środków, cele geostrategiczne, a także dystrybucję w rosyjskojęzycznej sieci, można zakładać, że nie jest to poziom samodzielnych działań białoruskich służb, bez udziału, nadzoru, szkolenia, czy wsparcia ze strony służb rosyjskich.
Tymczasem minęło właśnie pięć miesięcy nieprzerwanego wycieku ze skrzynki e-mailowej szefa Kancelarii Premiera, wobec którego polski rząd pozostaje bezradny. Niemal codziennie kolejne maile, ujawniające kulisy działań czołowych osób w państwie, publikuje dedykowana strona internetowa. A to wciąż jedynie wierzchołek góry lodowej – jak ujawniliśmy już w marcu na łamach tvn24.pl, w dyspozycji tych, którzy stoją za operacją „Ghostwriter”, jest potencjalnie wciąż ogromna ilość wrażliwych informacji.
Autor:Anna Gielewska (Fundacja Reporterów)
Źródło: tvn24.pl