Беларусь ведет киберактивность против стран НАТО – доклад

Американская группа расследователей Mondiant опубликовала доклад о хакерской группировке UNC1151. В докладе говорится, что группировка обеспечивает техническую поддержку масштабной кибероперации Ghostwriter и за ней, возможно, стоят беларусские власти. Технические факты указывают на то, что члены группировки находятся в Минске и связаны с беларусскими военными, эти связи были подтверждены из нескольких источников, сообщает Mondiant.

Согласно докладу, группировка UNC1151 атаковала ряд государственных и частных компаний в основном в Украине, а также в Литве, Латвии, Польше и Германии с 2016 года или раньше. Цели хакеров в основном располагались в соседних с Беларусью государствах, но некоторые атаки проводились в странах, не имеющих очевидных связей с Минском. Так, в 2016-2019 годах целями атак стали правительство Мальты, армии Кувейта и Франции, МИД Колумбии.

Перед выборами 2020 года целями атак также стали беларусские СМИ и представители оппозиции.

До середины 2020 года в рамках киберкампании Ghostwriter в большинстве случаев распространялись нарративы против НАТО. Цели кампании – подрыв региональной поддержки НАТО – могли отвечать интересам и России, и Беларуси, но в основном кампания была сосредоточена на граничащих с Беларусью странах – Литвой, Латвией и Польшей – и почти не касалась Эстонии, хотя она тоже член НАТО.

После беларусских выборов 2020 года стало заметно, что кампания Ghostwriter проводится в интересах Минска. Нарративы теперь касались коррупции или скандалов в правящих партиях Литвы и Польши, были заметны попытки создать напряжение в польско-литовских отношениях, дискредитировать беларусскую оппозицию. Кроме этого, некоторые нарративы были специфическими для Беларуси. Например, критика предполагаемой поддержки беларусских диссидентов польским правительством. Возможно, эти действия были ответом на вмешательство, как считают беларусские власти, во внутренние дела страны.

В августе 2020 года в рамках кампании Ghostwriter публиковались статьи, в которых говорилось, что беларусскими протестующими управляют США и НАТО, утверждалось, что НАТО хочет использовать протестующих для военного вмешательства. С августа 2020 года 16 из 19 нарративов распространяли порочащую информацию о правительствах Литвы и Польши, два критиковали НАТО и один ЕС.

Некоторые нарративы, нацеленные на Польшу и Литву, затрагивали региональные проблемы. Например, появлялись сообщения о якобы авариях на литовских атомных объектах. Некоторые из нарративов распространялись на русском, то есть предназначались для русскоговорящей аудитории.

Нарративы с критикой властей Польши и Литвы преподносились беларусским гостелевидением как факты. Авторы доклада затрудняются сказать, было ли так задумано или госТВ просто не проверяет информацию. Также доклад обращает внимание, что провластные Telegam-каналы регулярно репостят или ссылаются на русскоязычный Telegram-канал, которые авторы доклада считают частью операции Ghostwriter.

Mandiant с высокой долей уверенности считает, что кибергруппировка UNC1151 связана с беларусским правительством и со средним уровнем уверенности – что эти хакеры имеют связи с беларусскими военными.

В доказательство приводится следующее:

• страны, против которых проводилось большинство операций UNC1151, имеют напряженные отношения с Беларусью. Хотя некоторые из этих стран являются частыми целями российских кибершпионов, их специфический набор указывает на Беларусь;
• министерства обороны являются наиболее частыми госструктурами, подвергающимися атакам UNC1151. Это дает основания полагать, что группировка специализируется на военной разведке;
• цели среди людей, в том числе представители беларусской оппозиции и СМИ, больше всего отвечают интересам именно Беларуси;
• технические данные указывают, что операции проводятся в Минске и связаны с беларусскими военными;
• группировка проводила только малую часть операций без ясной и прямой связи с Беларусью.С высокой долей уверенности Mandiant считает, что информационные операции Ghostwriter проводились в поддержку беларусских властей и со средней долей уверенности – что при поддержке беларусских властей.

Специалисты Mandiant также рассмотрели возможность участия России в операциях  UNC1151 и Ghostwriter, но не получили достоверных данных для подтверждения или опровержения.