Statssponseret GhostWriter APT lægger vægt på desinformation

Det er ikke ualmindeligt, at Advanced Persistent Threat (APT)-grupper tjener et bestemt partis politiske interesser. Mens mange af disse organisationer har tendens til at være økonomisk motiverede, er der også grupper som GhostWriter, hvis specialisering er at miskreditere politisk opposition, sprede falsk information og forårsage politisk forstyrrelse. GhostWriter-hackernes første kampagner kan spores tilbage til 2017, men gruppens aktivitet tog virkelig fart omkring 2020, da deres navn blev forbundet med snesevis af angreb mod embedsmænd i Polen, Letland og Litauen.

Hvad er GhostWriter APT Modus Operandi?

De kriminelle bag denne gruppe er stærkt afhængige af at bruge phishing og malware for at få følsomme loginoplysninger fra deres ofre. Den ejendommelige del er din type konti, de er målrettet mod - for det meste relateret til indholdsstyringssystemer. Ved at kompromittere politikeres og højtstående embedsmænds konti på sociale medier, er de kriminelle i stand til at misbruge deres konti til at sprede indhold, der tjener GhostWriters politiske interesser.

I stedet for at uploade helt nyt indhold til kompromitterede indholdsstyringssystemer, blev GhostWriter-hackere ofte observeret i at manipulere tidligere indhold for at indsætte falske dokumenter, falske citater eller opdigtet korrespondance.

Gruppen menes at have tætte bånd til Rusland, men deres mest sandsynlige oprindelsesland er Hviderusland. Et almindeligt tema blandt udtalelser, som GhostWriter-hackere frigiver via kompromitterede konti, er den nordatlantiske traktatorganisation (NATO), og ikke overraskende sigter de mod at miskreditere organisationens mission og legitimationsoplysninger i de berørte regioner.

En anden antydning af GhostWriters bånd til Rusland er deres seneste kampagne, som har været aktiv siden februar 2022. Denne gang retter de Rusland-støttede hackere sig mod ukrainske militærembedsmænd via phishing-e-mails.