To Białorusini, nie Rosjanie, stoją za atakiem na skrzynki pocztowe polskich polityków (i nie tylko)
Firma Mandiant opublikowała właśnie niezwykle ciekawy raport na temat grupy stojącej za wieloma atakami na Polskę i polskich polityków, w tym pocztę ministra Dworczyka. Z dużą pewnością wskazuje w nim na białoruskie autorstwo ataków.
Grupa klasyfikowana jako UNC1151 od dawna wskazywana była w raportach jako stojąca za serią ataków na skrzynki pocztowe polskich polityków, ich konta w mediach społecznościowych, a także strony polskich portali. To właśnie tę grupę wskazały ABW i SKW jako odpowiedzialną za ataki na pocztę ministra Dworczyka, jednak – najwyraźniej mylnie – skojarzyły są z rosyjskimi służbami. Tymczasem ujawniony właśnie raport Mandianta mówi jasno – grupa najprawdopodobniej wywodzi się z Mińska.
Kto to Mandiant
Mandiant to amerykańska firma świadcząca usługi informowania o zagrożeniach w świecie IT. Firma nie byle jaka – powszechnie w branży jest uważana za jedną z 2-3 najlepszych, najrzetelniejszych i najlepiej poinformowanych. Początkowo niezależna, potem przejęta przez firmę FireEye (pod tą nazwą możecie ich także kojarzyć), od niedawna ponownie działająca pod swoją oryginalną marką.
Mandiant słynie z niezwykle rygorystycznego podejścia do atrybucji. Podczas gdy dziennikarze (w tym i my) mogą sobie czasem pozwolić na stwierdzenie „to wygląda jak Rosjanie / Amerykanie / Chińczycy”, Mandiant posługuje się złożonymi procesami budowania atrybucji i poziomu ufności tejże i nie wskazuje palcem, jeśli nie jest pewien swoich ustaleń. Jeśli publikuje coś, opisując twierdzenia jako „z dużą pewnością”, to ta pewność musi być naprawdę duża.
Ustalenia raportu
Raport zaczyna się słowami „UNC1151 jest z dużą pewnością powiązana z Białorusią”. UNC1151 to grupa, która według Mandianta stoi za kampanią Ghostwriter, opisaną po raz pierwszy w lipcu 2020 przez tę samą firmę. Głównymi kierunkami działania kampanii Ghostwriter są Litwa, Łotwa i Polska, okazjonalnie zahacza także o Niemcy. Do tej pory publicznie uważana była za reprezentującą głównie interesy rosyjskie, chociaż wątek białoruski przewijał się m.in. w artykułach Anny Gielewskiej i Julii Daukszy oraz Anny Mierzyńskiej, które dotyczyły wycieku ze skrzynki ministra Dworczyka.
Najnowszy raport Mandianta jest pierwszym publicznym dokumentem jasno wskazującym, że grupa UNC1151 powiązana jest z białoruskim rządem. Zachęcamy do lektury całości, poniżej przedstawiamy streszczenie najważniejszych ustaleń.
Cele działań UNC1151 najbardziej zgodne są z celami rządu białoruskiego. Aktywność grupy, której ślady sięgają roku 2016, koncentruje się na Polsce, Litwie, Łotwie, Ukrainie i Niemczech oraz wewnętrznej opozycji białoruskiej. Obywatele białoruscy, znajdujący się na liście celów, byli potem zatrzymywani przez białoruskie służby. Na liście celów nie było żadnych instytucji państwowych z Rosji ani Białorusi.
Analitycy Mandianta dysponują dowodami technicznymi wskazującymi, że operacje grupy prowadzone są z terenów Mińska powiązanych z białoruską armią. Informacje te zostały potwierdzone przez więcej niż jedno źródło.
Działania UNC1151 nigdy nie były bezpośrednio powiązane z działaniami znanych grup łączonych z rządem rosyjskim. Choć czasem cele i czas operacji były wspólne, to używane techniki czy infrastruktura wskazywały na brak współpracy pomiędzy UNC1151 a innymi grupami. Dodatkowo grupa UNC1151 działała nieprzerwanie, a rozwój wykorzystywanych przez nią technik wskazuje na proces charakterystyczny dla organicznego rozwoju i dojrzewania analogicznych zespołów.
O ile do połowy roku 2020 operacje UNC1151 wymierzone były raczej przeciwko NATO, o tyle od tego czasu działania grupy są mocniej powiązane z realizacją celów białoruskiej polityki. Kierunki narracji prezentowane w trakcie kampanii były w pełni zgodne z narracją używaną w białoruskiej telewizji państwowej.
Podsumowanie
Oczywiście Mandiant nie wyklucza także rosyjskiego „wkładu” w działanie grupy, jednak nie znalazł dowodów na to wskazujących. Podsumowując swoje ustalenia, Mandiant wskazuje, że celem działania grupy UNC1151 z dużą pewnością jest wspieranie rządu Białorusi, a z umiarkowaną pewnością, że grupa jest finansowana przez rząd Białorusi. Jednocześnie firma podkreśla, że bliskie powiązania techniczne między grupą UNC1151 a kampanią Ghostwriter świadczą z dużą pewnością o wspólnym sponsorze obu tych działań.
Ustalenia Mandianta, jednego z najlepszych źródeł informacji o aktywności grup sponsorowanych przez rządy, mogą mieć istotne znaczenie dla polskiej polityki – szczególnie w kontekście aktualnej sytuacji na granicy między Polską a Białorusią.
Aktualizacja 19:50
Pojawiają się pytania odnośnie momentu publikacji raportu. Nie da się ukryć, że trafił na bardzo gorący grunt trudnych relacji między Polską a Białorusią, lecz dzień publikacji był wybrany z innego powodu. Dzisiaj właśnie Ben Read i Gabby Roncone z Mandianta prezentowali swoje odkrycia na temat kampanii Ghostwriter na konferencji CyberWarCon. Publikacja wpisu była zsynchronizowana z ich występem, zaplanowanym od wielu tygodni.
Podobne wpisy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Ataki rosyjskich szpiegów na polskie placówki dyplomatyczne wykryte i opisane przez CERT Polska i SKW
- Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
No nie forma fireye mega wiarygodna
Glowy udzialowiec Vanguard Group
A troche nizej BlackRock
Rozumiem, że Fidelity, Shapiro, Allianz i Clearbridge nie pasują do spisku i dlatego wygodniej jest tych inwestorów pominąć?
Akurat w takim momencie pojawia się taki raport. Przypadek?
Tak, bo raport był zaplanowany na dzień występu pracowników Mandianta n konferencji CyberWarCon.
Grubo. Naprawdę grubo.
Albo Białoruś robi za proxy dla Kremla, albo naprawdę Baćka zazdrości Polsce dobrobytu ;d
znając historycznie Rosję skłaniam się ku pierwszej opcji, ale czasy takie że niczego nie wykluczam.
Co w tym takiego grubego, że kolejny dyktator skrzyknął naprędce grupę „APT” która nauczyła się wysyłać spam.
Posiadanie takich grup niezależnie od ich zaawansowania ma tę zaletę, że nigdy nie ma twardych dowodów na powiązanie ich z określonym państwem. Teraz też ich nie ma, proszę o bilingi, adresy ip i dane personalne owych hakerów ? Nawet gdyby były bilingi to dane takie jak IP nie są dowodem, bo zawsze można powiedzieć że samemu jest się ofiarą hakieruf
Ciekawe czy udawanie motywacji zarobowej przez grupy rządowe wychodziłoby im na korzyść. Z jednej strony Mandianty mogłyby pomylić ich z typowymi złodziejami. Z drugiej strony nieumiejętne transfery środków dostarczyłyby dowodów na ich tożsamość.
A może Baćka przecholował ale teraz nie ma się jak z tego wycofać – „lepiej być winnym niż słabym”
Właśnie mi też rozpoczzynanie artykułu od stwierdzeń „super firma! bardzo pewne wnioski” brzmi jak „special price for you my friend”…
Ale ciekawe, czy nasi „specjaliści” w rządzie nie odróżniający poziomu zabezpeczeń rozwiązań klasy .gov od skrzynki na wp.pl (bez obrazy dla wp.pl – po prostu dostępnej z internetu dla każdego) wezmą coś cokolwiek z tego pod uwagę…
Mandiant zapomniał napisać o ważnym współpracowniku tej grupy: polskich mediach. O ilu przejęciach stron, kont w mediach społecznościowych, o ilu kanałach Telegram dowiedzielibyśmy się bez pomocy polskich mediów? Ja nie dowiedziałbym się o żadnym, a interesuję się tematem. Nawet wyciek Dworczyka przeszedłby bez echa. Te kanały Telegram działały miesiącami zanim ktokolwiek je odwiedził. Gdyby ta grupa była naprawdę groźna, powodowała straty dla kogokolwiek, to polskie media nie wspomniałyby o niej ani słowem.
„Gdyby ta grupa była naprawdę groźna, powodowała straty dla kogokolwiek”
Bzdura do potęgi!
Grupa była i jest groźna. Ale polski wywiad i kontrwywiad, zarówno cywilny jak i wojskowy, są rozwalone przez PiS, głównie przez Macierewicza. Nie działają tak jak powinny. Ledwie zipią.
Nie wiem co będzie jak już PiS przeminie i jak odbudować silne służby, zdolne zawalczyć z wrogiem. Łatwo nie będzie!
Nareszcie. Miałem ten raport parę dni temu ale miałem kategoryczny zakaz publikacji. I tak jesteście szybcy :-).
Jeszcze uzupełnię – na celowniku jest też Estonia i co ciekawe Węgry.
To bardzo ważna informacja dla wszystkich, że miałeś ten raport
A to w końcu UNC1151 czy UNC1511? Czy może są dwie grupy i się w ten sposób ukrywają? ;-)
’Firma nie byle jaka – powszechnie w branży jest uważana za jedną z 2-3 najlepszych’
2-3 = -1
Niby trololo a gdybyście napisali 'w czołówce’ albo jedna z trzech najlepszych to byłby konkret.
A co jeśli to hakerzy Platformy Obywatelskiej?