Американская компания Mandiant, занимающаяся изучением киберугроз, опубликовала доклад о причастности связанных с властями Беларуси хакеров из группировки UNC1151 к кибератакам против европейских чиновников, беларуских журналистов и политических активистов.

«Деятельность UNC1151 нацелена на организации государственного и частного секторов в Украине, Литве, Латвии, Польше и Германии. Целями также являются беларуские диссиденты, СМИ и журналисты. <...> Полученная нами техническая информация указывает на то, что операционная деятельность UNC1151, вероятно, ведется из Минска. Эта оценка основана на показаниях нескольких источников, которые связывают эту деятельность с лицами, проживающими в Беларуси. Кроме того, отдельные технические свидетельства подтверждают связь между операторами UNC1151 и беларускими военными», — отмечают расследователи.

В докладе говорится, что хакеры рассылали фишинговые письма с целью получить доступ к конфиденциальным данным, регистрировали поддельные домены и распространяли вредоносный код. Авторы не называют конкретные случаи взломов, ограничиваясь общим описанием жертв: это различные беларуские СМИ, оппозиционеры, а также журналисты из Литвы, Польши и Украины.

Mandiant отмечает, что атаки против СМИ за границей Беларуси не сопровождались атаками против политиков и активистов, которые занимались внутренней повесткой. «Некоторые жертвы атак UNC1151 перед беларускими выборами 2020 года впоследствии были арестованы», — говорится в докладе. Расследователи подчеркивают, что UNC1151 использовала фишинговые рассылки против межправительственных организаций, которые работают с бывшими советскими республиками, но не против правительств этих стран.

Среди прочего, расследователи указывают, что в репортажах государственного ТВ «фигурировали якобы просочившиеся сообщения и документы польского правительства», которые продвигались в рамках операции Ghostwriter в июне 2021 года. Вскоре после публикации доклада пресс-секретарь правительства Польши Петр Мюллер подтвердил информацию: «Есть подтверждение международных аналитиков, большой рапорт о том, что кибератака, которая среди прочего касалась взлома десяток почтовых ящиков, в том числе ящика министра [руководителя канцелярии главы правительства Польши Михала] Дворчика, была проведена из Беларуси».

Также в Mandiant связывают UNC1151 с кампанией по распространению дезинформации против Литвы, Латвии и Польши под общим названием Ghostwriter: до середины 2020 года аккаунты, связанные с хакерами, «продвигали антинатовские нарративы, которые были направлены на подрыв регионального сотрудничества в области безопасности».

На причастность официального Минска к деятельности группировки косвенно указывает отсутствие атак против Эстонии, которая, как Литва и Латвия, входит в НАТО и обычно упоминается в дискуссиях о продвижении альянса на восток, но не имеет границы с Беларусью и не вовлечена в события в республике.

В отношении соседей Беларуси — Литвы и Польши — после выборов 2020 года проводились операции по продвижению нарративов о коррупции в правящих партиях, к которым добавлялась критика за поддержку беларуской оппозиции и ее дискредитация; протесты в Беларуси подавались как инспирированные странами Запада, а НАТО обвинялось в подготовке военного вмешательства.

Доказательств связи между UNC1151 и российскими властями в Mandiant найти не смогли, но ее не исключают — и отмечают, что более опытные российские коллеги могли оказать помощь минским хакерам, а «пророссийские правительственные телеграм-каналы регулярно репостят или цитируют русскоязычный канал, который мы считаем участником кампании Ghostwriter»; название канала не упоминается.

Associated Press пишет, что Mandiant — одна из самых «осторожных и уважаемых» компаний, работающих в сфере безопасности информационных технологий. Расследователи «тесно сотрудничает с западными правоохранительными органами и спецслужбами» и периодически сообщают новую информацию о деятельности Ghostwriter.

Обновлено в 14:10. Добавлена информация о взломе почтовых ящиков правительства Польши.