Уполномоченный Правительства Польши по вопросам кибербезопасности Кшиштоф Гавковски представил отчет за 2024 год. Согласно документу, количество кибератак в 2024 году выросло на 60% по сравнению с 2023 годом.
«В Польше в 2024 году зарегистрировано более 627 тысяч инцидентов — на целых 60% больше, чем в 2023 году. Наибольшее количество угроз поступает со стороны России и Беларуси — именно оттуда исходят большинство кибератак, актов саботажа и попыток дестабилизации», — заявил Гавковски.
В отчете отмечается, что Польша как логистический хаб для военной и политической помощи Украине находится под постоянным давлением и стала объектом гибридных действий со стороны России и Беларуси.
«В сферу вышеупомянутой вредоносной активности входят как враждебные действия активных групп APT (Advanced Persistent Threat), напрямую связанных со специальными службами государств, недружественных Польше, так и группы хактивистов, зависимые от властей, частично управляемые и вдохновляемые ими, а также группировки организованной криминальной преступности, осуществляющие вредоносную хакерскую деятельность в цифровом пространстве», — отмечается в документе.
Связанные с Беларусью хакеры проводили широкомасштабные фишинговые кампании, которые в основном были направлены на граждан Польши, в том числе на военнослужащих и сотрудников польских Вооруженных сил), а также на граждан Литвы и Украины.
«Кампании отличались разнообразием техник, включая распространение вредоносного ПО, кражи учетных данных и маскировку под благотворительные организации. Фишинг был доминирующим методом действия противника, при этом особого внимания заслуживают атаки, направленные на пользователей, имеющих стратегическое значение.
Противник использовал поддельные страницы для входа в электронную почту. Одновременно проводились распределенные действия с использованием вредоносного ПО. В некоторых случаях противник применял методы социальной инженерии, такие как распространение зараженных официальных документов, что указывает на попытку нацелиться на специфические группы жертв, в том числе государственные и военные учреждения», — говорится в отчете.
Эти действия направлены на подрыв безопасности региона и являются частью более широкой стратегии проведения операций APT-группами, связанными с Беларусью, считают авторы отчета.
Группой, связанной с Беларусью, называется UNC1151/Ghostwriter. Ее активность была зарегистрирована на протяжении девяти месяцев 2024 года. Деятельность группы направлена на достижение разведывательных целей, а также на влияние на общественное мнение.
Авторы доклада заявляют, что группа UNC1151 имеет отношение к распространению дезинформации, в том числе по таким темам, как ситуация в Украине, военные учения Steadfast Defender 2024 и Dragon-24, а также стоит за инцидентом со взломом сайта POLADA и кражей данных 115 польских спортсменов.
«Согласно публикациям компаний Mandiant и Google, группа UNC1151 с высокой вероятностью связана с правительством Беларуси, однако, по другим источникам, также имеет связи с российскими спецслужбами. За последний год эта группа продемонстрировала исключительно разнообразные методы атак, включающие как фишинговые атаки на пользователей почтовых сервисов, так и заражение вредоносным программным обеспечением.
Группа также участвовала в пропагандистской деятельности, касающейся польских олимпийцев, вооруженного конфликта в Украине и военных учений, проходивших на территории Польши. Такой широкий спектр деятельности группы свидетельствует о том, что она стремится не только к достижению разведывательных целей, но и к влиянию на общественное мнение по ключевым социально-политическим вопросам», — говорится в документе.
Группа UNC1151 вела широкомасштабную кампанию с использованием электронной почты. Пользователям под предлогом блокировки аккаунта и необходимости смены пароля предлагалось ввести свои учетные данные от почтовых сервисов.
В атаках с использованием вредоносного ПО применялась приманка в виде приглашений на конференции и профессиональные встречи. Жертвам предлагалась скачать прикрепленный к письму архив с вредоносным кодом. Далее в устройство жертвы загружался инструмент Cobalt Strike, позволяющий удаленно контролировать устройство.