La notizia del coinvolgimento diretto degli hackers di stato bielorussi ha dato una conferma sulla partecipazione attiva dello stato cuscinetto russo alla guerra cibernetica. Chi sono e cosa hanno fatto in passato i componenti dell’APT finora sconosciuta alla massa ed alla maggior parte degli analisti non è del tutto svelato, ma c’è un indizio logico che può collegarli al conflitto ucraino e precisamente la loro attività di diffamazione nei confronti della NATO
Operazione Ghostwriter
Nel luglio 2020, Mandiant Threat Intelligence ha pubblicato un rapporto pubblico che descriveva in dettaglio una campagna d’influenza in corso denominata “Ghostwriter“. Ghostwriter è stata una campagna d’influenza cyber rivolta principalmente al pubblico in Lituania, Lettonia e Polonia che promuoveva narrazioni critiche nei confronti dell’Organizzazione del Trattato Nord Atlantico (NATO) in Europa orientale.
Gli analisti di Mandiat, che hanno dato il nome agli attori statali bielorussi, hanno osservato osservato un’espansione delle narrazioni, degli obiettivi e TTP associati all’attività di Ghostwriter anche oltre la pubblicazione del rapporto di luglio 2020. Per esempio, diverse operazioni recenti hanno pesantemente sfruttato gli account compromessi dei social di funzionari polacchi della destra politica per pubblicare pubblicare contenuti apparentemente destinati a creare disordini nella politica interna in polacca volti a fomentare la sfiducia nella NATO. Queste operazioni, condotte in polacco e in inglese, in gran parte non hanno fatto affidamento sulla diffusione tramite vettori che osservati con precedenti attività simili, come la compromissione di siti web, messaggi di posta elettronica falsificati o post di persone non autentiche.
Attacco al Parlamento tedesco e la False Flag russa
Nel 2021 gli account e-mail di diversi membri del Parlamento tedesco sono stati presi di mira in un attacco di spearphishing. L’attacco è stato effettuato con l’invio di e-mail di phishing inviate alle e-mail private dei politici tedeschi. La maggior parte dei parlamentari presi di mira in questo attacco facevano parte dei partiti di governo CDU/CSU e SPD.
Un portavoce del Bundestag ha detto che gli aggressori non hanno preso di mira la rete del Bundestag. Dopo che l’attacco è stato rilevato, tutti i membri del parlamento presi di mira sono stati immediatamente avvisati.
All’inizio si è sospettato l’interesse degli hacker di stato russi, compresa Mandiant-FireEye che li ha identificati, ma poi si è ricondotto il tutto all’operazione Ghostwriter ed ai cugini bielorussi.
L’apt ha utilizzato personaggi inventati in posa come giornalisti e analisti per colpire il pubblico lituano, lettone e polacco con narrazioni anti-North Atlantic Treaty Organization (NATO) diffuse utilizzando siti web compromessi e account e-mail spoofed.
“La campagna Ghostwriter sfrutta l’attività tradizionale delle minacce informatiche e le tattiche delle operazioni di informazione per promuovere narrazioni destinate a intaccare la coesione della NATO e minare il sostegno locale per l’organizzazione in Lituania, Lettonia e Polonia“, ha dichiarato FireEye.
Nell’agosto 2020, la Norvegia ha rivelato un attacco sorprendentemente simile che ha anche portato alla violazione di diversi account di posta elettronica appartenenti a rappresentanti e dipendenti del Parlamento norvegese ed anche in quel caso attribuito ai russi dell’APT28.
Nel corso del 2022, in occasione del conflitto tra Ucraina e Russia, Microsoft ha individuato diverse azioni distruttive collegandole alle squadre statali bielorusse con il Malware WiperHermetic
