17:51
16/11/2021

Analitycy Mandianta właśnie upublicznili raport dotyczący hackerskiej grupy UNC1151 oraz operacji Ghostwriter. Pada w nim bardzo istotny zwrot:

Mandiant assesses with high confidence that UNC1151 is linked to the Belarusian government and with moderate confidence is linked to the Belarusian military. Mandiant assesses with high confidence that the Ghostwriter information operations campaigns are conducted in support of the Belarusian government

Te wnioski oczywiście nikogo, kto poważnie siedzi w branży cyberbezpieczeństwa i śledzi temat ataków na polskich polityków nie zszokują, ani nawet nie zaskoczą. Sam Mandiant wskazywał na udział UNC1151 w atakach na polskich polityków już w kwietniu 2021. Podobny werdykt wydały później także polskie służby: ABW wraz z SKW, choć wskazały wtedy, że UNC1151 i ataki na polityków są powiązane z Rosją.

Dlaczego ten raport jest istotny?

Dzisiejsza publikacja Mandianta jest istotna, bo umacnia wcześniejsze wnioski dodatkowymi dowodami, zarówno technicznymi jak i geopolitycznymi, a przy okazji po raz pierwszy oficjalnie i publicznie ujawnia, że “krajem stojącym za grupą UNC1151” jest Białoruś, nie Rosja, choć analitycy nie wykluczają wsparcia ze strony Rosjan. Tu kluczowe jest też pytanie czy, lub jak wiele, Białoruś jest w stanie zrobić bez wiedzy (lub przyzwolenia) Rosjan?

Przypomnijmy, że do tej pory w Polsce odnotowaliśmy następujące incydenty które możemy powiązać z działalnością UNC1151/Ghostwriter:

I prawdopodobnie także dzisiejsze włamanie na konto gen. dyw. prof. dr hab. Bogusława Packa też należy zaliczyć na konto tej grupy. Dość dobre podsumowanie całości “sagi” wykonaliśmy wspólnie z Marcinem Siedlarzem z Mandianta parę miesięcy temu. Całość można zobaczyć na niebezpiecznik.tv:

Cele UNC1151 to wprost cele Białoruskiego rządu

Mandiant przygląda się działaniom UNC1151 od 2017 roku. Z zebranych śladów wynika, że UNC1151 do połowy 2020 roku skupiała się na podkładaniu cybernóżki NATO, ale teraz przede wszystkim hakuje organizacje rządowe i firmy w Polsce, na Ukrainie, Litwie i Łotwie oraz w Niemczech. UNC1151 hakuje też media, dziennikarzy i działaczy opozycyjnych – ale tylko na Białorusi. W kilku przypadkach zaatakowane przez UNC1151 osoby zostały potem aresztowane przez białoruski reżim.

Co istotne — żadne z działań grupy nie są motywowane finansowo — atakującym chodzi o pozyskanie informacji oraz o zbudowanie konkretnej narracji na przejętych profilach i serwisach prasowych, która podważa zaufanie obywateli Polski i Litwy do swoich polityków a także wywołuje napięcia pomiędzy tymi krajami (patrz nasz artykuł, który opisuje atak na Państwową Agencję Atomistyki, którego celem było poróżnienie nas z Litwinami).

Grupa UNC1151 nigdy nie zaatakowała ani białoruskich ani rosyjskich instytucji rządowych. Co ciekawe, ich operacje nie zachodziły na operacje grup określanych kryptonimami: APT28, APT29, Turla, Sandworm i innych, które są powiązane z Rosją. Analitycy nie wykluczają jednak współpracy Białorusinów z Rosjanami.

Mandiant has seen high level TTP overlaps with Russian operations and much of the targeting and information operations are consistent with Russian goals. Given the close ties between the governments, collaboration is plausible; however, we have not uncovered direct evidence of Russian government involvement.

Członkowie UNC1151 są zlokalizowani w Mińsku

Mandiantowi udało się powiązać aktywność członków UNC1151 z Mińskiem, a część zebranych dowodów wskazuje na wsparcie ze strony białoruskiego wojska. Firma nie ujawnia jak zebrała te dowody, ale w raporcie pada mocne stwierdzenie, że dowód na powiązanie UNC1151 z białoruską armią był “bezpośrednią obserwacją” a w dodatku “powiązania zostały potwierdzone przez inne, niezależne źródła“.

Tak, dobrze czujecie. To jest moment w którym można otworzyć szampana. Nie znamy szczegółów, ale możemy się domyślać, że Mandiant obserwacji mógł dokonać np. w wyniku:

  • analizy części infrastruktury, którą UNC1151 wykorzystywano do ataków,
  • prywatnych “zasobów” poszczególnych członków
  • korelacji logów/netflow.

Niezależnie od tego, która hipoteza (lub hipotezy) są prawdziwe, prawdopodobnie zawinił kiepski OPSEC. Nie byłby to pierwszy raz zresztą, wspomnijmy chociażby, że rządowi hakerzy z Północnej Korei wpadli po ataku na Sony dlatego, że jeden z nich w trakcie ataku zalogował się z tego samego adresu IP na swoje prywatne konto na Facebooku…

Jak hakują Białorusini?

UNC1151 korzysta głównie z phishingu, podszywając się m.in. pod lokalne serwisy świadczące usługi pocztowe (👋 WP, Onet). Phishingi nie są jednak “wymyślne”, bazują na gotowcach, a grupa uczy się z czasem jak wysyłać je lepiej:

UNC1151 uses GoPhish primarily for their email sending operations – including both cyber espionage and Ghostwriter content dissemination. They often spoof the from envelope of the emails and previously leveraged email delivery services such as SMTP2GO to legitimize themselves. Technical details from early UNC1151 campaigns suggest that the group was unfamiliar with these technologies and may have learned on the job how to use them properly.

I właśnie dlatego warto jak najszybciej wdrożyć te 5 porad, które znacznie podniosą bezpieczeństwo Waszej skrzynki e-mailowej — przygotowaliśmy je dla GMaila, ale to zasady które, jeśli można, warto wdrożyć u każdego dostawcy:

Niestety, Białorusini nie korzystają tylko z phishingu. Zebrane informacje wskazują, że złośliwe oprogramowanie też jest używane do ataków, ale głównie na Ukrainie, choć Mandiant odnotował także takie próby w stosunku do Polaków.

To istotna informacja, ponieważ oznacza, że ofiary UNC1151 w Polsce mogły zostać pozbawione nie tylko danych na skrzynkach pocztowych, ale także wszystkiego, co posiadały na swoich urządzeniach, na których uruchomiły złośliwy załącznik. Co gorsza, złośliwe oprogramowanie wykorzystywane do ataków jest unikatowe — nie zostało stworzone na bazie znanych frameworków.

 

Nie tylko Johny Walker hakuje

To prawda, że dziwne wpisy, które pojawiają się na profilach polityków w mediach społecznościowych są czasem wynikiem sławnego hakera o pseudonimie Johny Walker. Ale nie wszystkie. Szkoda, że w tak spolaryzowanym społeczeństwie jak nasze, nie każdy potrafi to dostrzec. A jak pisaliśmy już wielokrotnie:

niezależnie od własnych poglądów sympatii politycznych, każdemu z nas powinno zależeć na tym, żeby nikt nie hackował naszych polityków, nawet tych których prywatnie nie znosimy.

Bo zarówno znienawidzonego jak i ulubionego polityka, jak widać na przykładzie operacji Ghostwriter, można ubrać w taką narrację, która sprawi, że staniemy się pożytecznymi idiotami. I niczym internetowe marionetki, zrealizujemy naszymi lajkami i szerami cudzy plan: dalszą polaryzację Polaków. Co ułatwi kolejne cyberoperacje przeciwko nam…

Jesteś dziennikarzem lub politykiem?

Na koniec przypomnijmy, że każdemu posłowi za darmo udostępniamy nasze szkolenia z cyberbezpieczeństwa. Ale trzeba pamiętać, że celem UNC1151 (oraz innych grup hackerskich) są nie tylko polscy politycy.

Rządowi hackerzy (różnych krajów) atakują również polskich dziennikarzy oraz ich bliskich. Niestety, część z nich już została zhackowana. Dlatego wszystkich kolegów dziennikarzy zapraszamy na nasze dedykowane warsztaty z cyberbezpieczeństwa zawierające elementy OPSEC i OSINT. A już teraz, kup sobie i skonfiguruj klucz U2F, to naprawdę bardzo pomaga aby nie stać się ofiarą.

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Nie kojarzę “sławnego hakera o pseudonimie Johny Walker”. Z moich czasów bardziej kojarzę pewnego lcamtufa, ale on chyba teraz częściej książki pisze ;-).

    • @Kenjiro

      W moim przypadku haker Johny Walker, zamiast pisać komentarze, zwykle koncentrował się na zmienieniu mi haseł na takie których nie pamiętałem po wytrzeźwieniu

    • A mój haker Johny Walker zawsze pisał w moim imieniu do byłej :|

  2. “Niezależne tajne źródła”, potwierdzają, że z “dużym prawdopodobieństwem” odkryto “powiązanie” z tymi tamtymi złymi, których akurat chcemy szkalować.

    Zadrżałem… Nie ze strachu, ze śmiechu.

    Typowa wrzutka medialna, której wiarygodności nie mam jak potwierdzić.

    • Zapoznaj się z historią Mandianta i ich atrybucji, a potem wróć do lektury.

    • Amerykańska firma, której CEO jest były oficer USAF. W przeszłości tworzyła raport np. o cyberatakach m.in. na rządowe instytucje amerykańskie, które “połączyli” z Chinami. Nie rozumiem, jak miałoby to im dodać wiarygodności.

      Nie, ja nie piszę, że amerykanie są “be”. Chodzi o to, że są tu stroną konfliktu (jako sojusznik Polski). Ja po prostu nie wiem, czy amerykański wywiad tutaj przypadkiem nie zadziałał i jaki mógł być ich cel: publiczne zdemaskowanie działań wroga, czy może wprowadzenie go w błąd. Tak na logikę: jeśli to jednak byli Rosjanie, Amerykanie to odkryli i chcą, żeby Rosjanie nie dowiedzieli się o ich odkryciu, to sensowne wydaje się, że mogli zrobić wrzutkę medialną pt. “odkryliśmy, że to jednak Białorusini”.

      Ja tego po prostu nie mogę wiedzieć, bo to nie jest jawna informacja.

    • Kolego, tak jak ci Niebezpiecznik napisał. Znajdź jedną niepoprawną atrybucję w wykonaniu Mandianta, a potem snuj teorie spiskowe, ok? Tobie się wydaje, a tymczasem oni im się nie wydaje, bo dają high confidence i stawiają swoją markę na szali. Poza CEO na pokładzie są dziesiątki analitykow również z Polski.

    • Bloomberg też podtawił swoją marke na szali pisząc o sprzętowych backdoorach w sprzęcie Supermicro, co okazało się bujdą pisaną prawdopodobnie na zlecenie rządu USA. Także nie zaprzeczam, ale też nie ufam tym rewelacjom, zwłaszcza że termin publikacji nie wydaje się przypadkowy.

    • Dlatego tego nie uswiadczasz cytatów z publikacji tego dziennikarza na Niebezpieczniku. A co do daty, to masz rację, nie jest ona przypadkowa. Jest zbieżna z konferencją cyberconwar, bo to na niej wczoraj ok 18 prelekcje mieli autorzy raportu Mandianta. Oczywiście konferencja była zaplanowana. Od kilku lat regularnie ją planują :)

    • Zawsze podkreślacie że atrybucja to rzecz bardzo niepewna i ilustrujecie to kostkami. Dlaczego nie tym razem?

    • Celna uwaga! Bo tym razem to nie etap “na świeżo, godzina po ataku” a raport bazujący na najwyższym poziomie pewności (patrz: https://en.m.wikipedia.org/wiki/Analytic_confidence) w dodatku właśnie potwierdzony przez drugi niezależny zespół badaczy z Google TAG. Oba mają nienaganny track record w temacie TA.

    • @Piotr Konieczny, a kolega nie widzi dziwnego zbiegu okoliczności, że dwa zespoły w tym samym czasu publikują dwa takie same raporty, obalając jednocześnie bajkę o “dyżurnych ruskich hackerach”, którzy nie są jedynie odpowiedzialni za gradobicie, trzęsienie ziemi i koklusz. Ciekawe, że wszyscy łącznie z wami do “przed wczoraj” twierdziliście, że to dyżurni ruscy hakerzy.

  3. +1
    Bardzo rozsądnie napisany artykuł!
    Też uważam, że najgorsze co może być, to skłócanie Polaków przeciw Polakom. Oni zaczną, a my sami się wykańczamy.

  4. Dziel i rządź.

  5. “Włamanie na konto Suskiego na którym pojawiły się intymne zdjęcia ”
    Suski nie ma prawa do imienia?

    • Nie ma, bo wtedy mógłby się złamać (do nowego wiersza). ;)

  6. “Podkładanie cybernóżki” <3

  7. A ja bym postawił inną tezę – czy można jeszcze mówić o “narodowości”?
    Jest wygodnie szufladkować, a jak coś się dzieje to mówiąc rosyjscy/chińscy hakerzy są szanse 80% że się pewnie trafi. Jestem zwyczajnie ciekaw ile “białoruskości” jest w tych ekipach, no bo raczej nie sądzę aby na spotkaniu Łukaszenka powiedział “Zenek, weź mi tu spędź jakichś hakerów, tu masz milion dolarów w używanych banknotach”. Spodziewałbym się raczej coś w stylu “ktoś z PL wysondował polityka, ktoś z RU znalazł exploita, ktoś z US złamał zabezpieczenia, ktoś z UA wrzucił na tora, z tora na wikileaks ktoś wrzucił z nicka lukaszenka_my_love dump skrzynki z kupionego na BTC VPS na białoruskich numerach”. Myślę, że prawda jest po prostu rozmyta.

    • @Moris

      Zgadzam się z tym bardzo. Mówienie (i patrzenie) przez pryzmat narodowości, tak modne obecnie, znacznie utrudnia rzeczywiste zrozumienie przeciwnika i obronę. Nie każdy człowiek poprzez swoje działania reprezentuje naród z którego pochodzi, czy państwo którego ma obywatelstwo – to chyba powinno być oczywiste, wystarczy spojrzeć na historię. Natomiast nadal może istnieć sytuacja sponsorowania danej grupy przez określone państwo. Trochę jak np reprezentacja w piłce nożnej. Domyślam się że na taką sytuację skrótowo się mówi poprzez narodowość. Co nadal jest uproszczeniem, mogącym prowadzić do błędnych wniosków i decyzji.

  8. Inicjatorem zapewne są służby zachodnie, mające dość antyeuropejskich polityków

  9. Jest wojna, są ofiary.

  10. Wstyd, jakby to byla rosja to mozna by to jeszcze jakos zrozumiec bo to prawie narodowy sport, lata doswiadczen i duzo wieksza gospodarka. Bialorus to maly kraj, z zapleczem finansowo technologicznym (teoretycznie) duzo gorszym od polski – nasi hakerzy powinni byc lepsi, wieksi :p i powinno byc ich wiecej…

    • @WkurzonyBialyMis90210

      Weź tylko pod uwagę, że tutejsi “lepsi więksi i więcej” mogą nie chcieć wspierać tutejszej polityki…

    • @Stukot
      > Weź tylko pod uwagę, że tutejsi “lepsi więksi i więcej”
      > mogą nie chcieć wspierać tutejszej polityki…

      Bledna adaptacja. Gdy opony do samochodu zdrozeja nie kupujesz 3 tylko placisz wiecej.

    • @WkurzonyBialyMis90210

      Ale to jeszcze trzeba rozumieć że potrzebuje się opon, a nie propagandy sukcesu że przecież felgi ma się świetne ;-)

  11. Ps. (kontunujac) a tytul tego artykulo powinien brzmieć (w sensie: być):
    “Bialoruscy hakerzy usilowali zhakowac polskich politykow, ale zamiast tego do sieci wyciekly nagie zdjecia Łukaszenki”…

  12. Nie na temat….Najwyższe na Świecie płace w IT: Białoruś, Ukraina.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: