Mandiant: провластные хакеры, которых долго связывали с Россией, работают в Минске

Кампания длится минимум четыре года на просторах Восточной Европы и стран Балтии. Из-за характерных тактик и методов, а также антинатовского и антиамериканского характера распространяемых статей, её приписывали Кремлю.

Однако эксперты Mandiant нашли минский след — этому, во-первых, есть технические свидетельства, а во-вторых, эти выводы совпадают с выводами сторонних исследователей.

В Mandiant внимание на кампанию Ghostwriter обратили в июле 2020 года. Тогда группировка в основном публиковала фейковые новости и даже взламывала новостные сайты, на которых выкладывала липовые материалы. В 2021-м исследователи заметили, что поле деятельности хакеров шире: они компрометируют учётные записи чиновников в соцсетях для распространения дезы, а также взламывают политиков и сливают украденную информацию. По словам исследователей, группировка ставила целью подорвать роль НАТО в Восточной Европе и стремилась разжечь политическую вражду или нестабильность в Польше, Украине, Литве, Латвии и Германии.

Исследователи говорят, что фокус кампании Ghostwriter изменился в течение лета и после президентских выборов 2020 года — когда их не признали США, а многие страны-соседки поддержали оппозицию. В повестке стало больше беларусских тем, усилилась направленность против беларусских диссидентов, СМИ, журналистов. Позже в Mandiant обнаружили технические детали, которые указывали на то, что исполнители в Минске.

Со специалистами компании солидарна Группа анализа угроз Google: здесь изданию сказали, что результаты расследования Mandiant согласуются с их собственными наблюдениями.

Со времени выборов в Mandiant выявили 19 операций Ghostwriter по распространению дискредитирующих нарративов, из них 16 выставляли в негативном свете правительства Литвы и Польши, две обрушивались с критикой на НАТО и одна — на ЕС.

В одной из августовских кампаний, нацеленной на Литву и Польшу, продвигалась фейковая история о преступлениях, совершённых мигрантами — две страны тем временем обвиняли Беларусь в доставке мигрантов к границе. В рамках других недавних операций была запущена информация об авариях, якобы произошедших на атомной электростанции в Литве, которая сопротивлялась строительству Островецкой АЭС близ своих территорий. Вбросы позже подхватило госТВ.

В Mandiant подметили, что кампания Ghostwriter не затрагивает Эстонию — единственную балтийскую страну, которая не граничит с Беларусью.

Независимый киберспециалист Лукаш Олейник утверждает, что активность хакеров, особенно операции по взлому политиков и сливам информации, была наиболее интенсивной в Польше. Он называет Ghostwriter крупнейшей кибероперацией с политической или военной подоплёкой против восточной части Европейского союза».

В Mandiant говорят, что с технической точки зрения кампания Ghostwriter не отличается особой сложностью, но при этом группировка полностью независима и инфраструктурно не связана с другими группировками, которые известны компании. Хакеры используют собственное вредоносное ПО, а не опенсорсное или общедоступные инструменты, а также имеют собственную облачную инфраструктуру. С учётом политического союза между Беларусью и Россией исследователи не исключают, что последняя тоже может быть связана с киберкампанией. Тем не менее сейчас прямых доказательств этого у них нет.