Grupa o nazwie UNC1151 jest powiązana z rządem Białorusi. Wskazują na to dane techniczne i geopolityczne, które udało nam się pozyskać - twierdzi firma Mandiant Threat Intelligence w najnowszym raporcie na ten temat, który został opublikowany we wtorek, tuż przed godz. 18. Wskazuje także, że „Białoruś jest również prawdopodobnie przynajmniej częściowo odpowiedzialna za kampanię Ghostwritera”. Z ustaleń Mandiant wynika, że Ghostwriter i UNC1151 to osobne grupy, ale powiązane ze sobą, powołane do innych zadań. - Naszym zdaniem UNC1151 odpowiada za techniczne wsparcie i kampanie phishingowe, wysyłanie złośliwego oprogramowania, a „Ghostwriter” za merytoryczną stronę dotyczącą operacji informacyjnej - mówi w wywiadzie dla „Rzeczpospolitej” Marcin Siedlarz, jeden z autorów raportu.

UNC1151 i Ghostwriter mają stać, według polskich służb - Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego, za włamaniem na konto szefa KPRM Michała Dworczyka, polityków PiS i blisko 4,5 tys. obywateli polskich, których konta zhakowano (w październiku ubr.). Celem cyberszpiegów ma być „destabilizacja sytuacji politycznej w krajach Europy Środkowej”. Według polskich służb grupa UNC1151 jest powiązana z rosyjskimi specsłużbami.

Czytaj więcej

Za atakiem stoi grupa hakerów UNC1151. Na czym polega akcja "Ghostwriter"?

„Nie możemy wykluczyć rosyjskiego wkładu w UNC1151 lub Ghostwriter. Jednak do tej pory nie odkryliśmy na to bezpośrednich dowodów” - twierdzi Mandiant. Skąd ta opinia? Analitycy firmy śledzą UNC1151 od 2017 r. i w ich ocenie, w tym czasie nie ich działania nie pokryły się z innymi śledzonymi rosyjskimi grupami, w tym APT28, APT29, Turla, Sandworm.

Jednak, jak wiadomo, białoruskie służby wojskowe nie są ani samodzielne ani niezależne - pracują dla rosyjskiej GRU.

Raport opisuje także polityczne tło, które dowodzi, że ci cybeszpiedzy pracują dla białoruskiego reżimu. Po pierwsze, wynika to z analizy celów ataków. „UNC1151 jest skierowany do szerokiej gamy podmiotów sektora rządowego i prywatnego, koncentrując się na Ukrainie, Litwie, Łotwie, Polsce i Niemczech. Celem ataku są także białoruscy dysydenci, media i dziennikarze” - pisze Mandiant.

Co istotne, „UNC1151 zaatakowała wiele białoruskich mediów i kilku członków opozycji politycznej na Białorusi w roku poprzedzającym wybory na Białorusi w 2020 roku” a „w kilku przypadkach osoby będące celem UNC1151 przed białoruskimi wyborami w 2020 r. zostały później aresztowane przez rząd białoruski”. Grupa nie atakowała rosyjskich ani białoruskich podmiotów państwowych. Wyłudzała informacje od organizacji międzyrządowych zajmujących się państwami byłego Związku Radzieckiego, ale nie ich rządami”.

Kolejnym dowodem na to, że cele UNC1151 są zbieżne z białoruską dyktaturą jest fakt, że „większość (ich) operacji była wymierzona w kraje sąsiadujące z Białorusią”. A więc Polska, Litwa i Ukraina, ale nie Estonia, która nie jest ich bezpośrednim sąsiadem.

Raport nie odnosi się do „Dworczyk leaks”. Jednak Marcin Siedlarz, potwierdza w rozmowie z „Rzeczpospolitą”, że politycy PiS byli celem ataków UNC1151 czego dowodem są próbki e-maili phishingowych. Ponadto, UNC1151 przygotował także infrastrukturę phishingową (przejmowanie kont dostępu poprzez zawirusowane linki) pod ataki wykierowane w użytkowników wielu polskich portali internetowych, Ministerstwa Obrony czy telewizji publicznej.

Autopromocja
Już w środę. Tylko w prenumeracie rocznej

Poradnik specjalny: Polski Ład - jak rozliczyć się z fiskusem

Zaprenumeruj

Śledztwo w sprawie włamania do prywatnego konta ministra Michała Dworczyka prowadzi Prokuratura Okręgowa w Warszawie. Odrębne, dotyczące polityków PiS - Prokuratura w Toruniu.

Czy Mandiant przekaże zebrane przez siebie dowody państwom, które padły ofiarą tych dwóch grup?

- Przed publikacją, zespół Mandiant Threat Intelligence skontaktował się z rządami państw i organizacjami międzynarodowymi, które były na celowniku obu grup i przekazał stosowne informacje odnośnie zaobserwowanych działań - przyznaje Marcin Siedlarz.

Cały wywiad z Marcinem Siedlarzem z Mandiant Advanced Practices w jutrzejszej „Rzeczpospolitej”.