Il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha avvertito che gli hacker sponsorizzati dallo stato bielorusso hanno preso di mira il suo personale militare e gli individui correlati come parte di una campagna di phishing montata in mezzo all’invasione militare della Russia nel paese.
“Recentemente sono state osservate e-mail di phishing di massa che prendono di mira gli account privati ‘i.ua’ e ‘meta.ua’ del personale militare ucraino e degli individui correlati“, ha detto il CERT-UA. “Dopo che l’account è compromesso, gli attaccanti, tramite il protocollo IMAP, ottengono l’accesso a tutti i messaggi“.
Successivamente, gli attacchi sfruttano le informazioni di contatto memorizzate nella rubrica della vittima per propagare i messaggi di phishing ad altri obiettivi.
Il governo ucraino ha attribuito le attività ad un attore di minacce rintracciato come UNC1151, un gruppo con sede a Minsk i cui “membri sono ufficiali del Ministero della Difesa della Repubblica di Bielorussia“. In un aggiornamento successivo, l’agenzia ha detto che il gruppo apt prende di mira anche i propri cittadini, mentre contemporaneamente mette gli occhi sulle entità russe:
- Associazione dei bielorussi del mondo (Unione sociale internazionale)
- Festival della musica bielorussa
- Organizzazione pubblica Samara Oblasna “Fraternità russo-bielorussa 2000”.
- Dzêâslov, una rivista letteraria bielorussa
- Bielorussia sovietica (Sovetskaya Belorussiya), un quotidiano bielorusso
- Dipendenti dell’Accademia Nazionale della Repubblica del Kazakistan
- Voce della Patria, un giornale locale in Bielorussia
Chi è UNC1151?
Mandiant Threat Intelligence ha legato insieme diverse operazioni di informazione che valutiamo con moderata fiducia che fanno parte di una più ampia campagna di influenza – in corso almeno dal marzo 2017 – allineata con gli interessi di sicurezza russi. Le operazioni hanno principalmente preso di mira il pubblico in Lituania, Lettonia e Polonia con narrazioni critiche della presenza dell’Organizzazione del Trattato Nord Atlantico (NATO) in Europa orientale, facendo occasionalmente leva su altri temi come le narrazioni anti-USA e COVID-19 come parte di questa più ampia agenda anti-NATO. La campagna diffamatoria è stata soprannominata “Ghostwriter”.
Molti, anche se non tutti gli incidenti che si sospettano facciano parte della campagna Ghostwriter, sembrano aver sfruttato la compromissione di siti web o account di posta elettronica falsificati per diffondere contenuti inventati, tra cui articoli di notizie falsificati, citazioni, corrispondenza e altri documenti progettati per apparire come provenienti da ufficiali militari e figure politiche nei paesi bersaglio.