To Białorusini, nie Rosjanie, stoją za atakiem na skrzynki pocztowe polskich polityków (i nie tylko)

dodał 16 listopada 2021 o 17:52 w kategorii Info  z tagami:
To Białorusini, nie Rosjanie, stoją za atakiem na skrzynki pocztowe polskich polityków (i nie tylko)

Firma Mandiant opublikowała właśnie niezwykle ciekawy raport na temat grupy stojącej za wieloma atakami na Polskę i polskich polityków, w tym pocztę ministra Dworczyka. Z dużą pewnością wskazuje w nim na białoruskie autorstwo ataków.

Grupa klasyfikowana jako UNC1151 od dawna wskazywana była w raportach jako stojąca za serią ataków na skrzynki pocztowe polskich polityków, ich konta w mediach społecznościowych, a także strony polskich portali. To właśnie tę grupę wskazały ABW i SKW jako odpowiedzialną za ataki na pocztę ministra Dworczyka, jednak – najwyraźniej mylnie – skojarzyły są z rosyjskimi służbami. Tymczasem ujawniony właśnie raport Mandianta mówi jasno – grupa najprawdopodobniej wywodzi się z Mińska.

Kto to Mandiant

Mandiant to amerykańska firma świadcząca usługi informowania o zagrożeniach w świecie IT. Firma nie byle jaka – powszechnie w branży jest uważana za jedną z 2-3 najlepszych, najrzetelniejszych i najlepiej poinformowanych. Początkowo niezależna, potem przejęta przez firmę FireEye (pod tą nazwą możecie ich także kojarzyć), od niedawna ponownie działająca pod swoją oryginalną marką.

Mandiant słynie z niezwykle rygorystycznego podejścia do atrybucji. Podczas gdy dziennikarze (w tym i my) mogą sobie czasem pozwolić na stwierdzenie „to wygląda jak Rosjanie / Amerykanie / Chińczycy”, Mandiant posługuje się złożonymi procesami budowania atrybucji i poziomu ufności tejże i nie wskazuje palcem, jeśli nie jest pewien swoich ustaleń. Jeśli publikuje coś, opisując twierdzenia jako „z dużą pewnością”, to ta pewność musi być naprawdę duża.

Ustalenia raportu

Raport zaczyna się słowami „UNC1151 jest z dużą pewnością powiązana z Białorusią”. UNC1151 to grupa, która według Mandianta stoi za kampanią Ghostwriter, opisaną po raz pierwszy w lipcu 2020 przez tę samą firmę. Głównymi kierunkami działania kampanii Ghostwriter są Litwa, Łotwa i Polska, okazjonalnie zahacza także o Niemcy. Do tej pory publicznie uważana była za reprezentującą głównie interesy rosyjskie, chociaż wątek białoruski przewijał się m.in. w artykułach Anny Gielewskiej i Julii Daukszy oraz Anny Mierzyńskiej, które dotyczyły wycieku ze skrzynki ministra Dworczyka.

Najnowszy raport Mandianta jest pierwszym publicznym dokumentem jasno wskazującym, że grupa UNC1151 powiązana jest z białoruskim rządem. Zachęcamy do lektury całości, poniżej przedstawiamy streszczenie najważniejszych ustaleń.

Cele działań UNC1151 najbardziej zgodne są z celami rządu białoruskiego. Aktywność grupy, której ślady sięgają roku 2016, koncentruje się na Polsce, Litwie, Łotwie, Ukrainie i Niemczech oraz wewnętrznej opozycji białoruskiej. Obywatele białoruscy, znajdujący się na liście celów, byli potem zatrzymywani przez białoruskie służby. Na liście celów nie było żadnych instytucji państwowych z Rosji ani Białorusi.

Analitycy Mandianta dysponują dowodami technicznymi wskazującymi, że operacje grupy prowadzone są z terenów Mińska powiązanych z białoruską armią. Informacje te zostały potwierdzone przez więcej niż jedno źródło.

Działania UNC1151 nigdy nie były bezpośrednio powiązane z działaniami znanych grup łączonych z rządem rosyjskim. Choć czasem cele i czas operacji były wspólne, to używane techniki czy infrastruktura wskazywały na brak współpracy pomiędzy UNC1151 a innymi grupami. Dodatkowo grupa UNC1151 działała nieprzerwanie, a rozwój wykorzystywanych przez nią technik wskazuje na proces charakterystyczny dla organicznego rozwoju i dojrzewania analogicznych zespołów.

O ile do połowy roku 2020 operacje UNC1151 wymierzone były raczej przeciwko NATO, o tyle od tego czasu działania grupy są mocniej powiązane z realizacją celów białoruskiej polityki. Kierunki narracji prezentowane w trakcie kampanii były w pełni zgodne z narracją używaną w białoruskiej telewizji państwowej.

Podsumowanie

Oczywiście Mandiant nie wyklucza także rosyjskiego „wkładu” w działanie grupy, jednak nie znalazł dowodów na to wskazujących. Podsumowując swoje ustalenia, Mandiant wskazuje, że celem działania grupy UNC1151 z dużą pewnością jest wspieranie rządu Białorusi, a z umiarkowaną pewnością, że grupa jest finansowana przez rząd Białorusi. Jednocześnie firma podkreśla, że bliskie powiązania techniczne między grupą UNC1151 a kampanią Ghostwriter świadczą z dużą pewnością o wspólnym sponsorze obu tych działań.

Ustalenia Mandianta, jednego z najlepszych źródeł informacji o aktywności grup sponsorowanych przez rządy, mogą mieć istotne znaczenie dla polskiej polityki – szczególnie w kontekście aktualnej sytuacji na granicy między Polską a Białorusią.

Aktualizacja 19:50

Pojawiają się pytania odnośnie momentu publikacji raportu. Nie da się ukryć, że trafił na bardzo gorący grunt trudnych relacji między Polską a Białorusią, lecz dzień publikacji był wybrany z innego powodu. Dzisiaj właśnie Ben Read i Gabby Roncone z Mandianta prezentowali swoje odkrycia na temat kampanii Ghostwriter na konferencji CyberWarCon. Publikacja wpisu była zsynchronizowana z ich występem, zaplanowanym od wielu tygodni.