К масштабной кибератаке на Украину, по первоначальной версии, может быть причастна группа UNC1151. Некоторые тактики, техники и процедуры очень напоминают так называемую операцию Ghostwriter, которая обеспечивается группой UNC1151.
Об этом сообщил в комментарии РБК-Украина бывший глава Киберполиции Сергей Демедюк.
"Это кибершпионская группа, аффилированная со спецслужбами Белоруси, которая в своих атаках использует инструментарий под названием credential harvesting (тип атаки, направленный на несанкционированный доступ к почтовым аккаунтам) с последующим распространением вредоносного программного обеспечения", — заявил он.
По словам Демедюка, деятельность хакерской группы в первую очередь направлена на аудиторию в Литве, Латвии, Польше и Украине и информационно имела нарратив, критиковавший присутствие НАТО в Северной Европе.
"В 2021 году мы стали фиксировать, что эта группировка расширила свои нарративы и технические подходы связанные с активностью Ghostwriter. Например, несколько последних операций группа активно использовала скомпрометированные учетные записи польских чиновников правого направления, направленного на усиление внутриполитических разногласий в Польше", — добавил экс-глава Киберполиции.
По его словам, свои операции хакеры проводили преимущественно в Европе на английском и польском языках и отличались по своим векторам, которые не были похожи на обычные действия, использовавшиеся Ghostwriter. К примеру, компрометация государственных сайтов, распространение фейковых заявлений, прямая дезинформация, использование вредоносного программного обеспечение, которое часто используется группой АPT-29, для кражи данных с госреестров и шифрования их серверов.
"Такой же инструментарий был использован и при атаке на государственные сайты 14 января. А именно анализ контента распространенного на польском языке, как и в похожих операциях, совершавшихся в 2021 году указывает, что он создавался исключительно с использованием Google-translate", — заявил Демедюк.
При этом он подчеркнул, что в метаданных картинки, которая была загружена на взломанные ресурсы, остались координаты школы в Польше.
"Очевидно, что этим примитивным методом им не удалось ввести никого в заблуждение, но все же это свидетельство того, что атакующие "играли" на польско-украинских взаимоотношениях", — заявил он.
Демедюк заявил, что вредоносное ПО, которое использовали для шифрования некоторых госсерверов по своим характеристикам похоже на то, что использует группировка APT-29.
"В Украине их традиционно интересует внешнеполитическое ведомство, правоохранительные органы. В данный момент рано делать какие-то окончательные выводы. Так же не стоит исключать из подозрений группу Sandworm, ведь деструктивные мероприятия — это их любимый метод достижения цели, — добавил экс-глава Киберполиции.
Он также не исключил необходимость проверки фактов возможного объединения хакерских групп для атак против Украины.
"Это и остается выяснить во время расследования пятничной атаки, которое проводят правоохранительные и специальные органы Украины", — добавил Демедюк.
Напомним, в ночь на 14 января была совершена крупнейшая за четыре года кибератака на Украину, она "положила" ряд правительственных сайтов, а также портал государственных услуг "Дия".
Служба безопасности Украины заявила, что есть признаки причастности спецслужб России к этой кибератаке.
