17:51
16/11/2021

Analitycy Mandianta właśnie upublicznili raport dotyczący hackerskiej grupy UNC1151 oraz operacji Ghostwriter. Pada w nim bardzo istotny zwrot:

Mandiant assesses with high confidence that UNC1151 is linked to the Belarusian government and with moderate confidence is linked to the Belarusian military. Mandiant assesses with high confidence that the Ghostwriter information operations campaigns are conducted in support of the Belarusian government

Te wnioski oczywiście nikogo, kto poważnie siedzi w branży cyberbezpieczeństwa i śledzi temat ataków na polskich polityków nie zszokują, ani nawet nie zaskoczą. Sam Mandiant wskazywał na udział UNC1151 w atakach na polskich polityków już w kwietniu 2021. Podobny werdykt wydały później także polskie służby: ABW wraz z SKW, choć wskazały wtedy, że UNC1151 i ataki na polityków są powiązane z Rosją.

Dlaczego ten raport jest istotny?

Dzisiejsza publikacja Mandianta jest istotna, bo umacnia wcześniejsze wnioski dodatkowymi dowodami, zarówno technicznymi jak i geopolitycznymi, a przy okazji po raz pierwszy oficjalnie i publicznie ujawnia, że “krajem stojącym za grupą UNC1151” jest Białoruś, nie Rosja, choć analitycy nie wykluczają wsparcia ze strony Rosjan. Tu kluczowe jest też pytanie czy, lub jak wiele, Białoruś jest w stanie zrobić bez wiedzy (lub przyzwolenia) Rosjan?

Przypomnijmy, że do tej pory w Polsce odnotowaliśmy następujące incydenty które możemy powiązać z działalnością UNC1151/Ghostwriter:

I prawdopodobnie także dzisiejsze włamanie na konto gen. dyw. prof. dr hab. Bogusława Packa też należy zaliczyć na konto tej grupy. Dość dobre podsumowanie całości “sagi” wykonaliśmy wspólnie z Marcinem Siedlarzem z Mandianta parę miesięcy temu. Całość można zobaczyć na niebezpiecznik.tv:

Cele UNC1151 to wprost cele Białoruskiego rządu

Mandiant przygląda się działaniom UNC1151 od 2017 roku. Z zebranych śladów wynika, że UNC1151 do połowy 2020 roku skupiała się na podkładaniu cybernóżki NATO, ale teraz przede wszystkim hakuje organizacje rządowe i firmy w Polsce, na Ukrainie, Litwie i Łotwie oraz w Niemczech. UNC1151 hakuje też media, dziennikarzy i działaczy opozycyjnych – ale tylko na Białorusi. W kilku przypadkach zaatakowane przez UNC1151 osoby zostały potem aresztowane przez białoruski reżim.

Co istotne — żadne z działań grupy nie są motywowane finansowo — atakującym chodzi o pozyskanie informacji oraz o zbudowanie konkretnej narracji na przejętych profilach i serwisach prasowych, która podważa zaufanie obywateli Polski i Litwy do swoich polityków a także wywołuje napięcia pomiędzy tymi krajami (patrz nasz artykuł, który opisuje atak na Państwową Agencję Atomistyki, którego celem było poróżnienie nas z Litwinami).

Grupa UNC1151 nigdy nie zaatakowała ani białoruskich ani rosyjskich instytucji rządowych. Co ciekawe, ich operacje nie zachodziły na operacje grup określanych kryptonimami: APT28, APT29, Turla, Sandworm i innych, które są powiązane z Rosją. Analitycy nie wykluczają jednak współpracy Białorusinów z Rosjanami.

Mandiant has seen high level TTP overlaps with Russian operations and much of the targeting and information operations are consistent with Russian goals. Given the close ties between the governments, collaboration is plausible; however, we have not uncovered direct evidence of Russian government involvement.

Członkowie UNC1151 są zlokalizowani w Mińsku

Mandiantowi udało się powiązać aktywność członków UNC1151 z Mińskiem, a część zebranych dowodów wskazuje na wsparcie ze strony białoruskiego wojska. Firma nie ujawnia jak zebrała te dowody, ale w raporcie pada mocne stwierdzenie, że dowód na powiązanie UNC1151 z białoruską armią był “bezpośrednią obserwacją” a w dodatku “powiązania zostały potwierdzone przez inne, niezależne źródła“.

Tak, dobrze czujecie. To jest moment w którym można otworzyć szampana. Nie znamy szczegółów, ale możemy się domyślać, że Mandiant obserwacji mógł dokonać np. w wyniku:

  • analizy części infrastruktury, którą UNC1151 wykorzystywano do ataków,
  • prywatnych “zasobów” poszczególnych członków
  • korelacji logów/netflow.

Niezależnie od tego, która hipoteza (lub hipotezy) są prawdziwe, prawdopodobnie zawinił kiepski OPSEC. Nie byłby to pierwszy raz zresztą, wspomnijmy chociażby, że rządowi hakerzy z Północnej Korei wpadli po ataku na Sony dlatego, że jeden z nich w trakcie ataku zalogował się z tego samego adresu IP na swoje prywatne konto na Facebooku…

Jak hakują Białorusini?

UNC1151 korzysta głównie z phishingu, podszywając się m.in. pod lokalne serwisy świadczące usługi pocztowe (👋 WP, Onet). Phishingi nie są jednak “wymyślne”, bazują na gotowcach, a grupa uczy się z czasem jak wysyłać je lepiej:

UNC1151 uses GoPhish primarily for their email sending operations – including both cyber espionage and Ghostwriter content dissemination. They often spoof the from envelope of the emails and previously leveraged email delivery services such as SMTP2GO to legitimize themselves. Technical details from early UNC1151 campaigns suggest that the group was unfamiliar with these technologies and may have learned on the job how to use them properly.

I właśnie dlatego warto jak najszybciej wdrożyć te 5 porad, które znacznie podniosą bezpieczeństwo Waszej skrzynki e-mailowej — przygotowaliśmy je dla GMaila, ale to zasady które, jeśli można, warto wdrożyć u każdego dostawcy:

Niestety, Białorusini nie korzystają tylko z phishingu. Zebrane informacje wskazują, że złośliwe oprogramowanie też jest używane do ataków, ale głównie na Ukrainie, choć Mandiant odnotował także takie próby w stosunku do Polaków.

To istotna informacja, ponieważ oznacza, że ofiary UNC1151 w Polsce mogły zostać pozbawione nie tylko danych na skrzynkach pocztowych, ale także wszystkiego, co posiadały na swoich urządzeniach, na których uruchomiły złośliwy załącznik. Co gorsza, złośliwe oprogramowanie wykorzystywane do ataków jest unikatowe — nie zostało stworzone na bazie znanych frameworków.

 

Nie tylko Johny Walker hakuje

To prawda, że dziwne wpisy, które pojawiają się na profilach polityków w mediach społecznościowych są czasem wynikiem sławnego hakera o pseudonimie Johny Walker. Ale nie wszystkie. Szkoda, że w tak spolaryzowanym społeczeństwie jak nasze, nie każdy potrafi to dostrzec. A jak pisaliśmy już wielokrotnie:

niezależnie od własnych poglądów sympatii politycznych, każdemu z nas powinno zależeć na tym, żeby nikt nie hackował naszych polityków, nawet tych których prywatnie nie znosimy.

Bo zarówno znienawidzonego jak i ulubionego polityka, jak widać na przykładzie operacji Ghostwriter, można ubrać w taką narrację, która sprawi, że staniemy się pożytecznymi idiotami. I niczym internetowe marionetki, zrealizujemy naszymi lajkami i szerami cudzy plan: dalszą polaryzację Polaków. Co ułatwi kolejne cyberoperacje przeciwko nam…

Jesteś dziennikarzem lub politykiem?

Na koniec przypomnijmy, że każdemu posłowi za darmo udostępniamy nasze szkolenia z cyberbezpieczeństwa. Ale trzeba pamiętać, że celem UNC1151 (oraz innych grup hackerskich) są nie tylko polscy politycy.

Rządowi hackerzy (różnych krajów) atakują również polskich dziennikarzy oraz ich bliskich. Niestety, część z nich już została zhackowana. Dlatego wszystkich kolegów dziennikarzy zapraszamy na nasze dedykowane warsztaty z cyberbezpieczeństwa zawierające elementy OPSEC i OSINT. A już teraz, kup sobie i skonfiguruj klucz U2F, to naprawdę bardzo pomaga aby nie stać się ofiarą.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

36 komentarzy

Dodaj komentarz
  1. Nie kojarzę “sławnego hakera o pseudonimie Johny Walker”. Z moich czasów bardziej kojarzę pewnego lcamtufa, ale on chyba teraz częściej książki pisze ;-).

    • @Kenjiro

      W moim przypadku haker Johny Walker, zamiast pisać komentarze, zwykle koncentrował się na zmienieniu mi haseł na takie których nie pamiętałem po wytrzeźwieniu

    • A mój haker Johny Walker zawsze pisał w moim imieniu do byłej :|

  2. “Niezależne tajne źródła”, potwierdzają, że z “dużym prawdopodobieństwem” odkryto “powiązanie” z tymi tamtymi złymi, których akurat chcemy szkalować.

    Zadrżałem… Nie ze strachu, ze śmiechu.

    Typowa wrzutka medialna, której wiarygodności nie mam jak potwierdzić.

    • Zapoznaj się z historią Mandianta i ich atrybucji, a potem wróć do lektury.

    • Amerykańska firma, której CEO jest były oficer USAF. W przeszłości tworzyła raport np. o cyberatakach m.in. na rządowe instytucje amerykańskie, które “połączyli” z Chinami. Nie rozumiem, jak miałoby to im dodać wiarygodności.

      Nie, ja nie piszę, że amerykanie są “be”. Chodzi o to, że są tu stroną konfliktu (jako sojusznik Polski). Ja po prostu nie wiem, czy amerykański wywiad tutaj przypadkiem nie zadziałał i jaki mógł być ich cel: publiczne zdemaskowanie działań wroga, czy może wprowadzenie go w błąd. Tak na logikę: jeśli to jednak byli Rosjanie, Amerykanie to odkryli i chcą, żeby Rosjanie nie dowiedzieli się o ich odkryciu, to sensowne wydaje się, że mogli zrobić wrzutkę medialną pt. “odkryliśmy, że to jednak Białorusini”.

      Ja tego po prostu nie mogę wiedzieć, bo to nie jest jawna informacja.

    • Kolego, tak jak ci Niebezpiecznik napisał. Znajdź jedną niepoprawną atrybucję w wykonaniu Mandianta, a potem snuj teorie spiskowe, ok? Tobie się wydaje, a tymczasem oni im się nie wydaje, bo dają high confidence i stawiają swoją markę na szali. Poza CEO na pokładzie są dziesiątki analitykow również z Polski.

    • Bloomberg też podtawił swoją marke na szali pisząc o sprzętowych backdoorach w sprzęcie Supermicro, co okazało się bujdą pisaną prawdopodobnie na zlecenie rządu USA. Także nie zaprzeczam, ale też nie ufam tym rewelacjom, zwłaszcza że termin publikacji nie wydaje się przypadkowy.

    • Dlatego tego nie uswiadczasz cytatów z publikacji tego dziennikarza na Niebezpieczniku. A co do daty, to masz rację, nie jest ona przypadkowa. Jest zbieżna z konferencją cyberconwar, bo to na niej wczoraj ok 18 prelekcje mieli autorzy raportu Mandianta. Oczywiście konferencja była zaplanowana. Od kilku lat regularnie ją planują :)

    • Zawsze podkreślacie że atrybucja to rzecz bardzo niepewna i ilustrujecie to kostkami. Dlaczego nie tym razem?

    • Celna uwaga! Bo tym razem to nie etap “na świeżo, godzina po ataku” a raport bazujący na najwyższym poziomie pewności (patrz: https://en.m.wikipedia.org/wiki/Analytic_confidence) w dodatku właśnie potwierdzony przez drugi niezależny zespół badaczy z Google TAG. Oba mają nienaganny track record w temacie TA.

    • Pamiętajmy, że olgino ma prikaz krytykować antyrosyjskie fakty. Oni za to rubelki dostają, za każdy wpis. A słonina i czaj coraz droższe, z czegoś trzeba żyć.

    • @Piotr Konieczny, a kolega nie widzi dziwnego zbiegu okoliczności, że dwa zespoły w tym samym czasu publikują dwa takie same raporty, obalając jednocześnie bajkę o “dyżurnych ruskich hackerach”, którzy nie są jedynie odpowiedzialni za gradobicie, trzęsienie ziemi i koklusz. Ciekawe, że wszyscy łącznie z wami do “przed wczoraj” twierdziliście, że to dyżurni ruscy hakerzy.

    • Też mi to pachnie utartą narracją, że skoro aktualnie Białoruś jest be, to co by się złego na świecie nie działo, to na pewno wina białoruskich agentów. Nie żebym kogoś tu bronił, ale w aspekcie cyberbezpieczeństwa gdzie dowody/poszlaki są tylko cyfrowe i zawsze można zasłaniać się ochroną tajnych źródeł informacji, sfabrykownaie dowolnych wniosków jest dość łatwe.

  3. +1
    Bardzo rozsądnie napisany artykuł!
    Też uważam, że najgorsze co może być, to skłócanie Polaków przeciw Polakom. Oni zaczną, a my sami się wykańczamy.

    • U podstaw dzielenia Polaków był populizm.
      Podzielono Polaków, na tych którzy za 500 zł sprzedadzą swój głos, nie rozumiejąc że populizm jest fatalny dla gospodarki.
      I z drugiej strony, dobrze zarabiająca część, która nie sprzedała się dla 500+. Dobrze wiedzieli, że to nie jest fajne, że ludziom, którzy np. piją da się pieniądze.

  4. Dziel i rządź.

  5. “Włamanie na konto Suskiego na którym pojawiły się intymne zdjęcia ”
    Suski nie ma prawa do imienia?

    • Nie ma, bo wtedy mógłby się złamać (do nowego wiersza). ;)

  6. “Podobny werdykt wydały później także polskie służby: ABW wraz z SKW, choć wskazały wtedy, że UNC1151 i ataki na polityków są powiązane z Rosją.”
    Ale oni mieli jakiekolwiek dowody na Rosjan, czy to tak jakby zapytać pana Wieśka spod monopolowego?
    “Włamanie na skrzynki ponad 400 posłów, w tym Michała Dworczyka”
    Ale wiecie, że w Polsce jest 460 posłów? 90% zostało zhackowanych?

  7. “Podkładanie cybernóżki” <3

  8. A ja bym postawił inną tezę – czy można jeszcze mówić o “narodowości”?
    Jest wygodnie szufladkować, a jak coś się dzieje to mówiąc rosyjscy/chińscy hakerzy są szanse 80% że się pewnie trafi. Jestem zwyczajnie ciekaw ile “białoruskości” jest w tych ekipach, no bo raczej nie sądzę aby na spotkaniu Łukaszenka powiedział “Zenek, weź mi tu spędź jakichś hakerów, tu masz milion dolarów w używanych banknotach”. Spodziewałbym się raczej coś w stylu “ktoś z PL wysondował polityka, ktoś z RU znalazł exploita, ktoś z US złamał zabezpieczenia, ktoś z UA wrzucił na tora, z tora na wikileaks ktoś wrzucił z nicka lukaszenka_my_love dump skrzynki z kupionego na BTC VPS na białoruskich numerach”. Myślę, że prawda jest po prostu rozmyta.

    • @Moris

      Zgadzam się z tym bardzo. Mówienie (i patrzenie) przez pryzmat narodowości, tak modne obecnie, znacznie utrudnia rzeczywiste zrozumienie przeciwnika i obronę. Nie każdy człowiek poprzez swoje działania reprezentuje naród z którego pochodzi, czy państwo którego ma obywatelstwo – to chyba powinno być oczywiste, wystarczy spojrzeć na historię. Natomiast nadal może istnieć sytuacja sponsorowania danej grupy przez określone państwo. Trochę jak np reprezentacja w piłce nożnej. Domyślam się że na taką sytuację skrótowo się mówi poprzez narodowość. Co nadal jest uproszczeniem, mogącym prowadzić do błędnych wniosków i decyzji.

    • Ktos chyba nie ogladal kina akcji ostatnich lat xD
      Slowianskie rysy — “Check”
      Slowianski akcent — “Check”
      Krotkie wlosy — “Check”
      Dwu do cztero dniowy zarost — “Check”
      = Ci źli, wariant B (oportunistyczni przestepcy) w kolorach skory pomiedzy pomarancz-braz [wpi*dol z zlej dzielnicy] do waniliowy pod jażeniówką [shakóje ci babcie] ;)

      Wariant A to oczywiscie arabowie (fanatycy – terrorysci)

      Ps. I zeby nie bylo, nie jest to moja opinia tylko analiza fabuł filmów kina akcji, wiec prosze przystopowac z ewentualną polityczna poprawnoscią :p

      PsPs. Widzialem kiedys taki film, wywiad z rosyjskim szpiegiem, staruszkiem z wygladu 200 letnim i on tam opowiadal o tej politycznej poprawnosci i jak ZSRR nia chcialo zniszczyć zachód xD

  9. Inicjatorem zapewne są służby zachodnie, mające dość antyeuropejskich polityków

  10. Jest wojna, są ofiary.

  11. Wstyd, jakby to byla rosja to mozna by to jeszcze jakos zrozumiec bo to prawie narodowy sport, lata doswiadczen i duzo wieksza gospodarka. Bialorus to maly kraj, z zapleczem finansowo technologicznym (teoretycznie) duzo gorszym od polski – nasi hakerzy powinni byc lepsi, wieksi :p i powinno byc ich wiecej…

    • @WkurzonyBialyMis90210

      Weź tylko pod uwagę, że tutejsi “lepsi więksi i więcej” mogą nie chcieć wspierać tutejszej polityki…

    • @Stukot
      > Weź tylko pod uwagę, że tutejsi “lepsi więksi i więcej”
      > mogą nie chcieć wspierać tutejszej polityki…

      Bledna adaptacja. Gdy opony do samochodu zdrozeja nie kupujesz 3 tylko placisz wiecej.

    • @WkurzonyBialyMis90210

      Ale to jeszcze trzeba rozumieć że potrzebuje się opon, a nie propagandy sukcesu że przecież felgi ma się świetne ;-)

  12. Ps. (kontunujac) a tytul tego artykulo powinien brzmieć (w sensie: być):
    “Bialoruscy hakerzy usilowali zhakowac polskich politykow, ale zamiast tego do sieci wyciekly nagie zdjecia Łukaszenki”…

  13. Nie na temat….Najwyższe na Świecie płace w IT: Białoruś, Ukraina.

  14. Tia… i wstawka o magicznych kluczach U7F które siłą magii woodoo ochronia komputer przed włamaniem.
    A świstach mówi że sreberka mu wyszli i nie zawija….

    Co do GhostWriter to nie jest to jedno środło ataku ale kilka współdziałających. Wiekszość w sovietach…

  15. Po co powtarzacie tę medialną papkę? ukraina nie ma żadnego biznesu w zadzieraniu z Polską. Ukraina jest jedynie młotkiem w ręku Putina, niczym więcej.

    zresztą zachowania, decyzje, deklaracje wielu polityków tzw. polskich, w mojej opinii sprzyjają rosyjskiemu putinowi. więc o czym mowa? jakieś “czyszczenie magazynów” by się przydało.

  16. […] Aktualizacja 15.01.2022, 20:39 Najnowsze ustalenia Ukraińskich specjalistów analizujących atak wskazują, że użyto do jego przeprowadzenia złośliwego oprogramowania, z którego wcześniej korzystała białoruska grupa UNC1151, która jest odpowiedzialna za ataki na Polskich polityków (por. To Białoruś a nie Rosja stoi za atakami na polskich polityków). […]

  17. […] kampanii prezydenckiej w USA), a rok temu firma Mandiant z Białorusinami i po części Rosjanami powiązała serwis Poufna Rozmowa, który jest punktem centralnym tzw. Afery Dworczyka i publikuje wiadomości ze skrzynek polskich […]

Odpowiadasz na komentarz stukot

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: