Фишинговая атака в Украине может стать прелюдией к кампании по дезинформации



Одним из признаков широкого размаха кибератак в Украине является фишинговая кампания, направленная на взлом учетных записей электронной почты военнослужащих страны и потенциальное использование их для распространения дезинформации.

Кампания проводится UNC1151, группой угроз, которая изначально считалась базирующейся в России, но которую Mandiant в ноябре прошлого года связал с правительством Беларуси и ее группой военной разведки.

Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) в пятницу сообщила, что группа рассылает массовые фишинговые электронные письма на учетные записи военнослужащих страны и тех, кто с ними связан. Когда группе удалось скомпрометировать учетную запись, она получила доступ к сообщениям электронной почты жертвы и использовала контактные данные из их адресных книг для отправки новых фишинговых писем. В предупреждении CERT-UA UNC1151 описывается как базирующаяся в Минске группа, членами которой являются офицеры министерства обороны Беларуси.

В заявлении директора Mandiant Бена Рида говорится, что исследователи компании отслеживают сообщения о том, что UNC1151 проводит широкомасштабный фишинг в отношении граждан Украины. Поставщик безопасности заявил, что не видел фишинговых писем, используемых в кампании, но смог связать инфраструктуру, о которой сообщил CERT-UA, с UNC1151. По словам Мандианта, эта деятельность согласуется с обширными нападениями злоумышленника на украинских военных в течение последних двух лет.

«Эти действия UNC1151, который, как мы полагаем, связан с белорусскими военными, вызывают обеспокоенность, поскольку личные данные украинских граждан и военных могут быть использованы в сценарии оккупации», — сказал Рид. «Утечка вводящих в заблуждение или сфабрикованных документов, полученных от украинских организаций, может быть использована для продвижения дружественных нарративов России и Беларуси», — предупредил Рид.

Обеспокоенность Mandiant по поводу последней фишинговой кампании UNC1151 в Украине связана со связью группы с GhostWriter, масштабной кампанией по дезинформации, которая продолжается уже более четырех лет. Основной целью кампании GhostWriter было распространение ложных сведений об интересах США и НАТО в Восточной Европе. Примеры включают фальшивые новостные статьи о размещении ядерного оружия НАТО в регионе, предполагаемых военных преступлениях войск НАТО и истории о том, как войска НАТО распространяют COVID-19 в Восточной Европе.

За несколько недель до отчета Mandiant, связывающего UNC1151 с Беларусью, Совет Европейского Союза и правительство Германии официально определили Россию как оператора кампании Ghostwriter. Эта оценка последовала за серией кибератак, которые, по мнению правительства Германии, были направлены на то, чтобы повлиять на исход ее парламентских выборов в сентябре прошлого года.

Сама Mandiant отмечает, что, хотя ей удалось связать UNC1151 и GhostWriter с Беларусью, компания не может исключить участия других стран, особенно России. Mandiant указал на тесные отношения между правительствами России и Белоруссии, а также на сильные возможности первого в области кибершпионажа и информационных операций в качестве объяснения своей оценки.

Как и Mandiant, поставщик систем безопасности RiskIQ в пятницу сообщил о мониторинге активности UNC1151. В бюллетене RiskIQ говорится, что они проанализировали фишинговые домены, которые CERT-UA идентифицировал UNC1151 как используемые в последней фишинговой кампании. Этот анализ привел к обнаружению более трех десятков подобных дополнительных фишинговых доменов, которые злоумышленник использует в настоящее время или мог использовать в прошлом, сообщает RiskIQ.

«RiskIQ смог определить дополнительные домены и инфраструктуру, связанные с кампанией, на основе информации, которую CERT-UA предоставил в своем исходном сообщении», — говорит Стив Гинти, директор по анализу угроз в RiskIQ. «Но у нас нет сведений о фишинговых электронных письмах, отправляемых в настоящее время, — говорит он. — Исторически группа UNC1151 регистрировала домены с опечатками, подменяющие почтовых провайдеров, и общие страницы входа в систему, чтобы собирать учетные данные жертв», — добавляет он.

https://cyberxhack.org/