Polska celem "Ghostwritera". Atak na konta w Niemczech
Odkryliśmy liczne operacje przeciwko polskim podmiotom w ramach kampanii Ghostwriter - poinformowała PAP firma Mandiant zajmująca się cyberbezpieczeństwem, potwierdzając wcześniejsze ustalenia polskich służb. Mandiant jako pierwszy informował o operacji, jeszcze w 2020 r.
Kto stoi za atakiem?
We wtorek rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn podał, że za niedawnym atakiem socjotechnicznym na polskich polityków i wyciekiem ich e-maili stoi związana z rosyjskimi służbami grupa UNC1151, która prowadzi szerszą operację destabilizacji państw regionu nazwaną „Ghostwriter”.
Grupę tę jako pierwsza zidentyfikowała amerykańska firma zajmująca się cyberbezpieczeństwem Mandiant Intelligence, należąca do grupy FireEye, która również dała nazwę operacji. Jak powiedział we wtorek PAP dyrektor ds. analiz Mandiant Intelligence Ben Read, firma „odkryła liczne operacje grupy UNC1151 przeciwko polskim podmiotom”.
Oceniamy, że te intruzje są związane z operacjami informacyjnymi Ghostwriter w Polsce — podkreśla.
Jak zaznaczył jednak ekspert, ośrodek nie zgromadził do tej pory wystarczających dowodów, by przypisać atak konkretnemu państwu. Jednocześnie w ocenie Mandiant grupa UNC1151 jest związana z obcym państwem.
Po raz pierwszy wzmianki o operacji Ghostwriter pojawiły się w raporcie firmy z lipca 2020 roku. Analitycy pisali wówczas, że jest to operacja wpływu, mająca na celu promowanie narracji krytycznych wobec NATO, głównie na Litwie, Łotwie i Polsce.
W jej ramach nieznana dotąd jednostka nazwana UNC1151, za którą - jak podejrzewano - stało obce państwo, prowadziło kampanię polegającą m.in. na publikowaniu i rozsyłaniu fałszywych artykułów opublikowanych po włamaniu na strony portali, m.in. na temat rzekomych przygotowań NATO do wojny z Rosją.
W kolejnym raporcie, z kwietnia 2021 r., firma oceniła, że działalność jednostki jest szersza niż wcześniej podejrzewano. Przypisano jej m.in. włamania na konta na Twitterze i Facebooka należące do polityków Zjednoczonej Prawicy, w tym posłów Marka Suskiego i minister Marleny Maląg. Mandiant stwierdził wówczas, że główne wysiłki w ramach „Ghostwritera” skupiały się w późniejszym czasie nie na NATO, lecz na kreowaniu podziałów wewnątrz koalicji rządzącej w Polsce oraz w polskim społeczeństwie.
Narracje promowane w pięciu operacjach (włamań na konta polityków ZP - PAP) zdają się prezentować skoordynowany wysiłek, by zdyskredytować koalicję rządzącą, poszerzyć istniejące podziały polityczne i promować obraz niezgody w koalicji — pisała w kwietniowym raporcie firma.
Niemieccy politycy na celowniku
Włamań na konta dokonano za pomocą phishingu, tj. wysyłania e-maili podszywających się pod znane portale czy np. banki, zachęcających adresatów do klikania w zainfekowane linki. Poza polskimi politykami celem takich ataków socjotechnicznych były także wojskowe i rządowe podmioty oraz media w państwach bałtyckich i na Ukrainie, a później także politycy w Niemczech i m.in. znany białoruski bloger opozycyjny.
Łącznie w raporcie odnotowano 34 incydenty powiązane z „Ghostwriterem” na przestrzeni ostatnich pięciu lat. W wielu przypadkach hakerzy używali kont polityków i osób publicznych, do których uzyskali dostęp, do rozprzestrzeniania fałszywych artykułów, np. mówiących o szajce zajmującej się prostytucją z udziałem przedstawicieli polskich i litewskich władz oraz amerykańskich wojskowych.
Mandiant stwierdził, że nie wszystkie z wymienionych incydentów dało się bezspornie przypisać UNC1151, lecz ma wysoki stopień pewności, że grupa stoi przynajmniej za częścią z nich.
Jak ustalił w marcu br. „Der Spiegel”, celem akcji „Ghostwriter” stało się 7 członków Bundestagu i ponad 70 posłów do parlamentów niemieckich krajów związkowych. Według informatorów z niemieckich służb była to pierwsza duża akcja tej grupy w Europie Zachodniej.
Sytuacja dla Niemiec jest o tyle niebezpieczna, że niebawem odbędą się tam wybory do Bundestagu.
Oceniamy, że zagrożenie dla kandydatów w wyborach jest wysokie. Nadal należy spodziewać się ataków na przestrzeń informacyjną — przyznaje w rozmowie z Deutsche Welle rzecznik Federalnego Urzędu Bezpieczeństwa Technik Informatycznych (BSI).
Według ustaleń dziennikarzy stacji WDR i BR, szef Federalnego Urzędu Ochrony Konstytucji (BfV) Thomas Haldenwang miał zeznać w marcu przed parlamentarną komisją ds. służb specjalnych, że o atak w ramach akcji „Ghostwriter” podejrzewany jest rosyjski wywiad wojskowy GRU.
Celem mieli być politycy rządzących partii CDU/CSU oraz SPD. Na razie nie wiadomo, czy w ogóle i jakiego rodzaju dane zostały im wykradzione. Do tej pory nie zostały upublicznione. Jak relacjonują dziennikarze. służby „wcześnie wykryły falę ataków, a następnie poinformowały dotknięte osoby”.
W listach, które służby miały rozesłać do parlamentarzystów, miała znaleźć się informacja, że ich „służbowe i/lub prywatne adresy email” mogą stać się celem „zaplanowanej kampanii phishingowej”, natomiast zdobyte hasła i informacje mogą być wykorzystane do „uzyskania dostępu do kont w sieciach społecznościowych lub rozpowszechniania fałszywych informacji”.
Czytaj też: Panika w Iranie: Elektrownia atomowa wstrzymała pracę
wPolityce.pl/kp