Звязаная з Беларуссю хакерская групоўка UNC1151, таксама вядомая як Ghostwriter, з сакавіка 2026 года праводзіць фішынгавыя атакі супраць карыстальнікаў паштовага сэрвісу Gmail. Пра новую маштабную фішынгавую атаку паведамляе польскі цэнтр рэагавання на кіберінцыдэнты CERT Polska.
Паводле даных экспертаў, Ghostwriter застаецца адной з самых актыўных кібершпіёнскіх груп, якія дзейнічаюць супраць грамадзян Польшчы. Калі раней асноўнымі мэтамі атак былі карыстальнікі польскіх паштовых сэрвісаў Onet, Wirtualna Polska і Interia, то цяпер зламыснікі засяродзіліся на акаўнтах Gmail. Новыя дамены для правядзення атак рэгіструюцца практычна штодня.
“Група атакуе людзей, уцягнутых у палітычную дзейнасць, грамадска актыўных грамадзян, асоб, якія займаюць прыкметныя пасады, навукоўцаў, журналістаў, супрацоўнікаў дзяржаўных органаў і сілавых структур, а таксама іншых людзей, звязаных з імі сямейнымі або сяброўскімі адносінамі.
Зламыснікі не заўсёды ведаюць, каму належыць паштовая скрыня, на якую яны адпраўляюць фішынгавыя паведамленні. Часам яны спрабуюць адгадаць адрас электроннай пошты чалавека, які з’яўляецца мэтай атакі, у выніку чаго шкоднасныя лісты праз супадзенне імёнаў і прозвішчаў трапляюць да выпадковых людзей”, — паведамляе CERT Polska.
Асноўная мэта кампаніі — атрыманне поўнага доступу да паштовых скрыняў ахвяр. Для гэтага атакоўцы рассылаюць лісты, замаскіраваныя пад афіцыйныя апавяшчэнні службы бяспекі Gmail. У паведамленнях гаворыцца пра падазроную актыўнасць, спробы ўваходу ў акаўнт або магчымую блакіроўку ўліковага запісу.
Пераход па спасылцы з ліста вядзе на падробленую старонку аўтарызацыі, якая капіруе інтэрфейс Gmail. Пасля ўводу лагіна і пароля карыстальніка просяць указаць код двухфактарнай аўтэнтыфікацыі. Гэта дазваляе зламыснікам перахопліваць не толькі ўліковыя даныя, але і дадатковыя сродкі абароны акаўнта, уключаючы SMS-коды і аднаразовыя паролі з праграм-аўтэнтыфікатараў.
Паводле ацэнкі польскіх экспертаў, пасля ўзлому паштовых скрыняў група шукае ў іх кантакты, дакументы і звесткі пра звязаныя акаўнты, якія могуць выкарыстоўвацца для далейшых кібераперацый і разведвальнай дзейнасці.
У CERT Polska адзначаюць, што цяперашняя кампанія сведчыць пра пашырэнне магчымасцяў і маштабаў дзейнасці Ghostwriter. Карыстальнікам рэкамендуюць з асаблівай асцярожнасцю ставіцца да лістоў пра праблемы з бяспекай акаўнта і не ўводзіць свае даныя на старонках, адкрытых па спасылках з электроннай пошты.
Нагадаем, нядаўна стала вядома пра кібершпіёнскую кампанію Ghostwriter супраць дзяржаўных устаноў Украіны. Зламыснікі збіраюць інфармацыю пра сістэму, уключаючы імя карыстальніка, назву камп’ютара, версію аперацыйнай сістэмы, час загрузкі прылады і спіс запушчаных працэсаў, а пасля аналізу даных, пры неабходнасці, атрымліваюць аддалены кантроль над сістэмай і выкарыстоўваюць яе для шпіянажу.
