Mandiant апублікаваў даклад пра датычнасць Беларусі да кібер-шпіянажу

На русском языке: Mandiant опубликовал доклад о причастности Беларуси к кибер-шпионажу

Mandiant – амерыканская кампанія па кібер-бяспецы. Яна стала вядома ў лютым 2013 года, калі выпусціла даклад, у якім прадставіла доказы дачынення Кітая да кібер-шпіянажу. Mandiant з’яўляецца адной з найбольш паважаных кампаній па кібер-бяспецы, якая цесна супрацоўнічае з заходнімі праваахоўнымі і разведвальнымі службамі.

Даследчыкі па кібер-бяспецы сцвярджаюць, што выявілі доказы дачынення Беларусі з 2016 года да гібрыдных хакерскіх нападаў групоўкі UNC1151 супраць усходнееўрапейскіх чальцоў НАТА, мэтай якой было пасеяць разлад у вайсковым альянсе, атрымаць канфідэнцыйную інфармацыю, а таксама шпіянаж за беларускай апазіцыяй.

Даклад вядомай амерыканскай кампаніі па кібер-бяспецы Mandiant, прадстаўлены ў аўторак, прад’явіў абвінавачванні супраць хакерскай групоўкі UNC1151, якая падае тэхнічную падтрымку іншай групоўцы, вядомай як Ghostwriter. Даследчыкі прадставілі некаторыя факты, якія могуць указваць на сувязі UNC1151 з беларускім урадам.

Доказы, прадстаўленыя Mandiant:

• Дзейнасць NC1151 была накіравана на шырокі спектр урадавых і прыватных арганізацый ва Украіне, Літве, Латвіі, Польшчы і Германіі. Пад удар таксама трапілі беларускія апазіцыянеры, СМІ і журналісты. Хаця існуе мноства разведвальных службаў, якія могуць быць зацікаўлены ў гэтых краінах, на думку Mandiant, такая нацэленасць найбольш суадносіцца з інтарэсамі беларускага ўрада. Таксама аперацыі UNC1151 былі сканцэнтраваны на атрыманні канфідэнцыйнай інфармацыі.
• Шкоднасныя напады былі сканцэнтраваны на Усходняй Еўропе. UNC1151 ажыццявіла некалькі значных нападаў на ўкраінскія дзяржаўныя органы. Некаторыя атакі таксама былі скіраваныя супраць Літвы і Польшчы.
• Напады UNC1151 былі накіраваныя на некаторыя беларускія СМІ і некалькіх сябраў палітычнай апазіцыі ў Беларусі за год да прэзідэнцкіх выбараў 2020 года. Напады UNC1151 таксама былі накіраваныя супраць СМІ ў Літве, Польшчы, Украіне і Латвіі, аднак нападаў на лідараў апазіцыі ці ўнутрыпалітычных актывістаў у гэтых краінах Mandiant не знайшоў. Акрамя таго, некалькі асобаў, у адносінах да якіх былі здзейсненыя атакі UNC1151 перад выбарамі 2020 года, пазней былі арыштаваныя беларускім урадам.
• Група не здзяйсняла нападаў на расійскія ці беларускія дзяржаўныя ўстановы.
• Нягледзячы на ​​тое, што большасць аперацый UNC1151 былі накіраваныя на суседнія з Беларуссю краіны, невялікая колькасць атак была ажыццяўлена супраць урадаў, якія не маюць відавочнай сувязі з Беларуссю. Гэтыя аперацыі ў асноўным адбываліся ў перыяд з 2016 да 2019 года. Напрыклад, у чэрвені 2019 года UNC1151 адправіў шкоднасны фішынгавы ліст 33 атрымальнікам. У той час як большасць з іх знаходзіліся ў Польшчы, Літве, Латвіі і Украіне, яна таксама была адпраўлена калумбійскаму, ірландскаму і швейцарскаму ўрадам.
• Тэхнічныя даныя, атрыманыя з крыніц, паказваюць на тое, што хакеры, якія стаяць за UNC1151, знаходзяцца ў Мінску. Акрамя таго, асобныя тэхнічныя дадзеныя пацвярджаюць сувязь паміж хакерамі UNC1151 і беларускімі вайскоўцамі. Дырэктар па аналізе кібер-шпіянажу Бэн Рыд не падаў дэталяў, чаму Mandiant упэўнены, што ўрад Беларусі тэхнічна дапамагаў хакерам, якія, верагодна, знаходзяцца ў Мінску.

Мэты нападаў UNC1151 з 2017 па 2020 год / Фота: Mandiant.com

Да 2020 года большасць нападаў кампаніі Ghostwriter былі нацэленыя супраць НАТА. Ілжывыя наратывы распаўсюджваліся з дапамогай узломаў навінавых агенцтваў, урадавых вэб-сайтаў і падробленых электронных лістоў. Пасля выбараў у жніўні 2020 года ў Беларусі дзейнасць Ghostwriter была больш выразна звязана з інтарэсамі Мінска. Наратывы, якія прасоўваюцца, былі сканцэнтраваны на абвінавачваннях у карупцыі або скандалах у кіруючых партыях у Літве і Польшчы, спробах стварыць напружанасць у польска-літоўскіх адносінах і дыскрэдытацыі беларускай апазіцыі. Акрамя таго, некалькі аперацый Ghostwriter прасоўвалі такія наратывы, як, напрыклад, крытыка меркаванай падтрымкі польскім урадам беларускіх апазіцыянераў. Цалкам магчыма, што аперацыі, якія, відаць, накіраваныя на падрыў даверу мясцовых жыхароў да літоўскага і польскага ўрадаў, звязаныя з тым, што Беларусь абвінавачвае краіны ва ўмяшанні ва ўнутраныя справы Беларусі. Аналагічным чынам аперацыі, якія, верагодна, накіраваныя на стварэнне напружанасці паміж дзвюма краінамі, могуць быць спробай падарваць іх супрацоўніцтва.

• У жніўні 2020 года Ghostwriter апублікаваў артыкулы, у якіх сцвярджалася, што пратэсты ў Беларусі былі арганізаваныя ЗША і НАТА, з дапамогай пратэстуючых НАТА рыхтуецца да вайсковага ўмяшання, а таксама пра тое, што Захад павінен устрымлівацца ад умяшання ва «ўнутраныя справы» Беларусі.
• Пасля выбараў у жніўні 2020 года 16 з 19 аперацый Ghostwriter прасоўвалі наратывы, якія дыскрэдытуюць польскі і літоўскі ўрады. Яшчэ два наратывы крытыкавалі НАТА і адзін – ЕС.
• Некаторыя аперацыі, накіраваныя супраць Польшчы і Літвы, прасоўвалі наратывы, звязаныя з рэгіянальнымі праблемамі. Напрыклад, сцвярджалася, што на літоўскіх ядзерных аб’ектах здараліся аварыі. Прычым такія наратывы распаўсюджваліся на рускай мове, г.зн. былі накіраваныя на рускамоўную аўдыторыю.
• Беларускае тэлебачанне выкарыстоўвала такія наратывы як доказ падтрымкі Польшчай беларускай апазіцыі. У адным з эфіраў дзяржТБ нават была зроблена адсылка да Тэлеграм канала, які Mandiant лічыць датычным да дзейнасці Ghostwriter. Таксама Mandiant паведамляюць, што знайшлі ў праўладных тэлеграм-каналах рэпосты або спасылкі на рускамоўны тэлеграм-канал, які звязаны з Ghostwriter.

Mandiant таксама высунуў здагадку і пра тое, што Расія стаіць за дзейнасцю групоўкі Ghostwriter. Напрыклад, Германія абвінаваціла Расію ў спробе выкрасці інфармацыю ў дзяржаўных і федэральных дзеячаў напярэдадні парламенцкіх выбараў 26 верасня з дапамогай хакерскай кампаніі. Аднак знайсці прамыя доказы дачынення Расіі Mandiant не ўдалося.