Afera mailowa. Eksperci wskazują na hakerów z Białorusi

Zespół hakerów powiązany z cyberoperacją Ghostwriter, w ramach której m.in. publikowane są maile polskich polityków, ma powiązania z białoruskim reżimem – napisała we wtorek amerykańska firma Mandiant, która zajmuje się cyberbezpieczeństwem. Firma nie wyklucza także udziału rosyjskich hakerów.

Mandiant Threat Intelligence ocenia z wysokim stopniem pewności, że grupa UNC1151 jest związana z białoruskimi władzami. Ta ocena jest oparta o techniczne i geopolityczne wskaźniki – podano we wtorkowym komunikacie. Zdaniem firmy sama kampania informacyjno-szpiegowska Ghostwriter to dzieło przynajmniej w części białoruskiego reżimu. “Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 i Ghostwriter. W tym czasie jednak nie odkryliśmy bezpośrednich dowodów takiego wkładu” – zaznaczono.

Firma zidentyfikowała trwającą co najmniej od 2016 r. cyberoperację, która pierwotnie była powszechnie uznawana za dzieło rosyjskich służb. Także szef unijnej dyplomacji Josep Borrell wskazywał we wrześniowym oświadczeniu na udział Rosji.

Zobacz także: Media: rosyjska grupa włamała się do serwerów Partii Republikańskiej

Mandiant wskazuje, że zarówno techniczne dane, jak i cele działań UNC1151 wskazują na udział Białorusi. Operacja miała być pierwotnie skierowana przeciwko obecności żołnierzy NATO w krajach wschodniej flanki. Z czasem zmieniła swój charakter, obierając za cel głównie władze oraz społeczeństwa sąsiadów Białorusi. Z kolei w okresie zeszłorocznych wyborów prezydenckich na Białorusi, także białoruską opozycję.

“Operacje w ramach Ghostwriter promowały narracje skupiające się na oskarżeniach o korupcję lub skandalach wewnątrz partii rządzących na Litwie i w Polsce, próbach wywołania napięć w relacjach polsko-litewskich i dyskredytowania białoruskiej opozycji” – napisano.

“Dodatkowo, operacje Ghostwritera promowały narracje, które wydają się być zaprojektowane w taki sposób, aby sugerować ingerencję zagraniczną na Białorusi, głównie z Polski i Litwy” – dodano.

Firma uważa, że początki operacji Ghostwriter sięgają co najmniej 2016 roku, a cyberszpiegowskiej – 2017.

Jak podawaliśmy, od 4 czerwca br. profil Poufna Rozmowa w popularnym serwisie Telegram publikuje materiały rzekomo wykradzione z prywatnej skrzynki e-mail szefa KPRM, Michała Dworczyka. W wydanym dopiero 9 czerwca oświadczeniu Dworczyk potwierdził, że doszło do włamania na jego skrzynkę mailową. Z jego oświadczenia wynika, że cyberatak uważa za akcję dezinformacyjną ze strony rosyjskiej lub białoruskiej, w której wykorzystano informacje „sfałszowane i zmanipulowane”.

Zobacz także: Szef MSZ: Odpowiedzą na cyberatak powinny być cybersankcje, UE może zdecydować się na taki scenariusz

mandiant.com / Kresy.pl