„Mandiant Threat Intelligence ocenia z wysoką dozą pewności, że grupa UNC1151 ma związek z białoruskim rządem. Ocena jest oparta na technicznych i geopolitycznych przesłankach” – czytamy w informacji opublikowanej przez Mandiant.
– W ostatnich tygodniach dotarliśmy do nowych dowodów pochodzących z wrażliwych źródeł dotyczących grupy UNC1151 – mówi w rozmowie z Wprost Marcin Siedlarz, analityk bezpieczeństwa w Mandiant i dodaje: – Wiemy, że kilka osób związanych z grupą przebywa fizycznie w Mińsku w Białorusi. Jedna z nich jest prawdopodobnie oficerem wojska białoruskiego.
UNC1151 kradnie, Ghostwriter rozpowszechnia
Grupa UNC1151 współpracuje z grupą Ghostwriter. Pierwsza, UNC1151 odpowiada za techniczną stronę operacji hakerskich, jak wyłudzanie danych i włamywanie się do systemów informatycznych, kont społecznościowych, skrzynek mailowych, itp. Druga, Ghostwriter odpowiada za akcje propagandowe i dezinformacyjne w internecie wykorzystując zasoby zdobyte przez UNC1151, jak publikowanie wykradzionych danych lub tworzenie i kolportowanie fałszywych wiadomości.
Mandiant ocenia jako wysoce prawdopodobne, że obie grupy są odpowiedzialne za wykradzenie wiadomości ze skrzynki pocztowej ministra Michała Dworczyka oraz innych polityków Prawa i Sprawiedliwości i publikowanie ich na kanałach „Poufna Rozmowa”.
Obok informacji na temat miejsca przebywania członków grup UNC1151 i Ghostwriter o ich zależności od białoruskiego rządu świadczy wg firmy Mandiant kierunek operacji propagandowych.
– Działalność dezinformacyjno-propagandową grupy możemy podzielić na dwa okresy, przed i po wyborach prezydenckich w Białorusi. Przed wyborami, czyli przed sierpniem 2020 przeważała ogólna retoryka antynatowska, dezinformowanie, że amerykańscy żołnierze w Europie rozprzestrzeniają koronawirusa, że rozmieszczenie broni NATO zwiększy zagrożenie dla krajów europejskich. Było to systematyczne budowanie negatywnego wizerunku Sojuszu wśród lokalnej społeczności — mówi Siedlarz.
Zmiana narracji
– Po sierpniu 2020 narracja prowadzona przez grupę Ghostwriter stała się zbieżna z polityką Mińska. Na cel zostały wzięte Polska, Ukraina, kraje bałtyckie, ale bez Estonii, która nie graniczy z Białorusią — kontynuuje Siedlarz.
Narracja po sfałszowanych wyborach w Białorusi dotyczyła rzekomej korupcji i skandali w partiach rządzących w Polsce i Litwie, ingerencji tych krajów w sprawy wewnętrzne Białorusi. Niektóre elementy kampanii grupy Ghostwriter pojawiały się jednocześnie w białoruskiej, rządowej telewizji.
Mandiant pisze, że celami grupy UNC1151 byli też członkowie rządów Niemiec oraz białoruscy opozycjoniści. Grupa nigdy nie podjęła natomiast działań przeciwko obywatelom Rosji lub Białorusi.
Białoruś, nie Rosja
Wcześniej grupa UNC1151 oraz prowadzona przez Ghostwritera kampania dezinformacyjna były przypisywane Rosji. Oświadczenie stwierdzające ten fakt wydała nawet Komisja Europejska. Zdaniem Mandiant istnieje prawdopodobieństwo, że grupa UNC1151 może otrzymywać pomoc lub współpracować w osobami, lub jednostkami cyberwojsk z Rosji, ale nie ma w tej chwili informacji, które by potwierdziły to przekonanie.
W ciągu kilku lat monitorowania działań grupy od 2017 roku analitycy bezpieczeństwa Mandiant nie zauważyli związku ze znanymi rosyjskimi grupami. Nie korzystały one z tych samych rozwiązań, serwerów ani malware (Techniki, Taktyki, Procedury – TTP). Dodatkowo grupy UNC1151 oraz inne rosyjskie grupy prowadziły kilkukrotnie akcje przeciwko tym samym podmiotom i prawdopodobnie nie wiedziały o sobie nawzajem.
Ekspert: To możliwa zagrywka Putina
– Zmiana atrybucji grupy UNC1151 z Rosji na Białoruś absolutnie nic nie zmienia. Powinniśmy zakładać, że te działania są prowadzone przez służby wschodnie. Ta informacja potwierdza tylko ścisłą kooperację w jedności działania obu krajów. Działania Białorusi zawsze będzie spójne z działaniem Rosji, ale nie odwrotnie. Nie ma szans, aby Białoruś działa sama, i wszystko dzieje się za wiedzą i zgodą Rosji – mówi w rozmowie z Wprost płk rez. Maciej Matysiak były zastępca szefa Służby Kontrwywiadu Wojskowego, ekspert Fundacji STRATPOINTS.
– Możliwe, że podsunięcie Mandiantowi tych informacji było celowe, aby odsunąć podejrzenie od Rosji, zwłaszcza jeśli wcześniej UNC1151 była im przypisywana. Dla Putina oznacza to, że nie musi firmować swoich działań i może postawić się w roli niezależnej strony, która nie jest zaangażowana w konflikt – dodaje płk Matysiak.
Pełna treści informacji dostępna jest na blogu firmy Mandiant.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Wprost.
Regulamin i warunki licencjonowania materiałów prasowych.