Staatlich geförderter GhostWriter APT setzt auf Desinformation
Es ist nicht ungewöhnlich, dass Advanced Persistent Threat (APT)-Gruppen den politischen Interessen einer bestimmten Partei dienen. Während viele dieser Organisationen eher finanziell motiviert sind, gibt es auch Gruppen wie GhostWriter, die sich darauf spezialisiert haben, politische Opposition zu diskreditieren, gefälschte Informationen zu verbreiten und politische Störungen zu verursachen. Die ersten Kampagnen der GhostWriter-Hacker lassen sich bis ins Jahr 2017 zurückverfolgen, aber die Aktivitäten der Gruppe nahmen um das Jahr 2020 herum richtig Fahrt auf, als ihr Name mit Dutzenden von Angriffen auf Beamte in Polen, Lettland und Litauen in Verbindung gebracht wurde.
Was ist der GhostWriter APT Modus Operandi?
Die Kriminellen hinter dieser Gruppe verlassen sich stark auf den Einsatz von Phishing und Malware, um sensible Anmeldeinformationen von ihren Opfern zu erhalten. Der besondere Teil ist die Art der Konten, auf die sie abzielen – hauptsächlich im Zusammenhang mit Content-Management-Systemen. Durch die Kompromittierung der Social-Media-Konten von Politikern und hochrangigen Beamten können die Kriminellen ihre Konten missbrauchen, um Inhalte zu verbreiten, die den politischen Interessen von GhostWriter dienen.
Anstatt brandneue Inhalte auf kompromittierte Content-Management-Systeme hochzuladen, wurden die GhostWriter-Hacker oft dabei beobachtet, wie sie frühere Inhalte manipulierten, um gefälschte Dokumente, falsche Zitate oder erfundene Korrespondenz einzufügen.
Es wird angenommen, dass die Gruppe enge Verbindungen zu Russland hat, aber ihr wahrscheinlichstes Herkunftsland ist Weißrussland. Ein gemeinsames Thema unter Äußerungen, die GhostWriter-Hacker über kompromittierte Konten veröffentlichen, ist die North Atlantic Treaty Organization (NATO), und wenig überraschend zielen sie darauf ab, die Mission und Referenzen der Organisation in den betroffenen Regionen zu diskreditieren.
Ein weiterer Hinweis auf die Verbindungen von GhostWriter zu Russland ist ihre jüngste Kampagne, die seit Februar 2022 aktiv ist. Dieses Mal zielen die von Russland unterstützten Hacker über Phishing-E-Mails auf ukrainische Militärbeamte ab.